Segundo relatórios recentes, os cibercriminosos desenvolveram um método sofisticado para distribuir software malware através de contratos inteligentes em Ethereum, contornando as varreduras de segurança tradicionais. Esta evolução nos ciberataques foi identificada por investigadores de cibersegurança da ReversingLabs, que descobriram novo malware de código aberto no repositório Node Package Manager (NPM), uma extensa coleção de pacotes e bibliotecas JavaScript.

A investigadora da ReversingLabs, Lucija Valentić, destacou em uma publicação recente que os pacotes de malware, denominados "colortoolsv2" e "mimelib2", utilizam contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estes pacotes, publicados em julho, funcionam como carregadores que obtêm endereços de servidores de comando e controle a partir de contratos inteligentes em vez de hospedar diretamente links maliciosos. Esta abordagem complica os esforços de detecção, uma vez que o tráfego da blockchain parece legítimo, permitindo que o malware instale software de download em sistemas comprometidos.

O uso de contratos inteligentes de Ethereum para hospedar URLs onde se encontram comandos maliciosos representa uma técnica nova na implementação de malware. Valentić apontou que este método marca uma mudança significativa nas estratégias de evasão de deteção, uma vez que os actores maliciosos exploram cada vez mais os repositórios de código aberto e os desenvolvedores. Esta tática foi utilizada anteriormente pelo grupo Lazarus, afiliado à Coreia do Norte, no início deste ano, mas a abordagem atual demonstra uma rápida evolução nos vetores de ataque.

Os pacotes de malware são parte de uma campanha de engano mais ampla que opera principalmente através do GitHub. Os cibercriminosos criaram repositórios falsos de bots de trading de criptomoedas, apresentando-os como credíveis através de commits fabricados, contas de usuário falsas, múltiplas contas de mantenedores e descrições e documentação de projetos com aparência profissional. Esta elaborada estratégia de engenharia social tem como objetivo contornar os métodos de deteção tradicionais, combinando tecnologia blockchain com práticas enganosas.

Em 2024, os investigadores de segurança documentaram 23 campanhas maliciosas relacionadas com criptomoedas em repositórios de código aberto. No entanto, este último vetor de ataque sublinha a contínua evolução dos ataques a repositórios. Para além de Ethereum, foram empregues táticas semelhantes em outras plataformas, como um repositório falso de GitHub que se fazia passar por um bot de trading de Solana e que distribuía malware para roubar credenciais de carteiras de criptomoedas. Além disso, os hackers atacaram "Bitcoinlib", uma biblioteca Python de código aberto desenhada para facilitar o desenvolvimento de Bitcoin, o que ilustra ainda mais a natureza diversa e adaptativa destas ameaças cibernéticas.