Hackers usam contratos inteligentes do Ethereum para ocultar malware: Análise de novas ameaças

A equipe de pesquisa da ReversingLabs descobriu recentemente uma atividade de ataque que utiliza contratos inteligentes Ethereum para ocultar URLs de malware. A pesquisa mostrou que os atacantes usam os pacotes npm colortoolv2 e mimelib2 como carregadores de software malicioso.

Estes pacotes npm, uma vez instalados, irão consultar contratos inteligentes Ethereum para obter informações sobre o comando e controle de malware de segunda fase (C2). A pesquisadora da ReversingLabs, Lucija Valentic, afirmou que esse método de ataque é bastante criativo, nunca tendo sido visto antes. Essa abordagem dos atacantes pode contornar as varreduras tradicionais, pois essas varreduras geralmente apenas marcam URLs suspeitas nos scripts dos pacotes.

Ameaçadores escondem habilmente código malicioso

Os contratos inteligentes do Ethereum são programas automatizados de blockchain públicos. Nesta ataque, os hackers utilizaram contratos inteligentes para esconder código malicioso à vista do público. A carga maliciosa foi oculta em um simples arquivo index.js, que, ao ser executado, se conecta à blockchain para obter detalhes do servidor C2.

A pesquisa da ReversingLabs mostra que pacotes downloader não são comuns no npm, enquanto a utilização de hospedagem em blockchain marca uma nova fase na tecnologia de evasão de detecção.

Dica de segurança: Os desenvolvedores devem ter especial cuidado ao usar bibliotecas de código aberto, especialmente aquelas relacionadas a funcionalidades de criptomoedas. Recomenda-se realizar uma auditoria de segurança abrangente antes de introduzir qualquer dependência de terceiros.

Atacantes falsificam repositórios do GitHub para aumentar a credibilidade

Os pesquisadores realizaram uma varredura extensa no GitHub e descobriram que esses pacotes npm estavam embutidos em repositórios disfarçados como robôs de negociação de criptomoedas, como Solana-trading-bot-v2, Hyperliquid-trading-bot-v2, entre outros. Esses repositórios foram falsamente apresentados como ferramentas profissionais, com múltiplos envios, contêineres e estrelas, mas na realidade, eram todos fictícios.

A pesquisa revelou que as contas que realizaram submissões ou bifurcações desses repositórios foram criadas em julho e não mostraram nenhuma atividade de codificação. A maioria das contas tem um arquivo README embutido em seus repositórios. A investigação revelou que o número de submissões foi gerado artificialmente por um processo automatizado para exagerar a atividade de codificação. Por exemplo, a maioria das submissões registradas é apenas uma modificação de arquivos de licença, em vez de atualizações substanciais.

Dicas de segurança: Os usuários de CEX e investidores em criptomoedas, ao utilizarem ferramentas de código aberto no GitHub, não devem julgar a credibilidade de um projeto apenas com base em dados superficiais, como o número de estrelas e a frequência de commits. Recomenda-se uma inspeção aprofundada da qualidade do código e do estado de manutenção.

A detecção de ameaças de malware incorporado na blockchain Ethereum entra em uma nova fase

O ataque descoberto desta vez é o mais recente numa série de ataques ao ecossistema blockchain. Em março deste ano, a ResearchLabs também descobriu outros pacotes npm maliciosos, que modificaram pacotes Ethers legítimos ao inserir código de shell reverso.

Estudos mostram que em 2024 foram registados 23 eventos relacionados com criptomoedas na cadeia de suprimentos, envolvendo várias formas como malware e vazamento de credenciais.

Embora esta descoberta tenha utilizado algumas velhas táticas, introduziu contratos inteligentes Ethereum como um novo mecanismo. O pesquisador Valentic destacou que isso ressalta a rápida evolução dos agentes maliciosos na evasão da detecção, pois estão constantemente buscando novas maneiras de infiltrar projetos de código aberto e ambientes de desenvolvedores.

Dicas de segurança: Para plataformas CEX e usuários, esse tipo de nova ameaça significa que é necessário reforçar a auditoria de segurança dos contratos inteligentes e aumentar a supervisão sobre os contratos que podem ser mal utilizados. A plataforma deve considerar a implementação de mecanismos de auditoria de código de terceiros mais rigorosos.

Embora os pacotes npm colortoolsv2 e mimelib2 envolvidos tenham sido removidos do npm e as contas do GitHub relacionadas tenham sido encerradas, este evento destaca a evolução contínua do ecossistema de ameaças de software. Ele nos lembra que, mesmo funcionalidades de blockchain que parecem inofensivas podem ser exploradas por hackers, tornando-se potenciais riscos de segurança.