Malware utiliza contratos inteligentes de Ethereum para evadir a deteção

Segundo investigações recentes, os cibercriminosos desenvolveram um método sofisticado para distribuir software malware através de contratos inteligentes na blockchain de Ethereum, eludindo os sistemas tradicionais de segurança informática. Esta evolução nos ciberataques foi identificada por investigadores de segurança da ReversingLabs, que descobriram novo malware de código aberto no repositório Node Package Manager (NPM), uma ampla coleção de pacotes e bibliotecas JavaScript.

Um novo vetor de ataque na cadeia de blocos

A pesquisadora Lucija Valentić da ReversingLabs destacou em uma publicação técnica que os pacotes maliciosos, denominados "colortoolsv2" e "mimelib2", utilizam contratos inteligentes em Ethereum para ocultar comandos maliciosos. Esses pacotes, publicados em julho, funcionam como baixadores que obtêm endereços de servidores de comando e controle a partir de contratos inteligentes em vez de hospedar diretamente links maliciosos. Essa abordagem complica os esforços de detecção, pois o tráfego blockchain parece legítimo, permitindo que o malware instale software adicional em sistemas comprometidos.

O uso de contratos inteligentes de Ethereum para alojar URLs onde se encontram os comandos maliciosos representa uma técnica inovadora na distribuição de malware. Valentić destacou que este método marca uma mudança significativa nas estratégias para evadir a detecção, enquanto os atores maliciosos exploram cada vez mais os repositórios de código aberto e os desenvolvedores.

Evolução de táticas e contexto histórico

Esta técnica foi empregue anteriormente pelo grupo Lazarus, associado à Coreia do Norte, no início deste ano. No entanto, a abordagem atual demonstra uma rápida evolução nos vetores de ataque utilizados por cibercriminosos.

Pacotes maliciosos fazem parte de uma campanha de engano mais ampla que opera principalmente através do GitHub. Os atacantes criaram repositórios falsos de bots de trading de criptomoedas, apresentando-os como credíveis através de commits fabricados, contas de usuário falsas, múltiplas contas de mantenedores e descrições e documentação de projetos com aparência profissional. Esta elaborada estratégia de engenharia social busca contornar os métodos tradicionais de detecção, combinando tecnologia blockchain com práticas enganosas.

Um panorama crescente de ameaças

Em 2024, os investigadores de segurança documentaram 23 campanhas maliciosas relacionadas com criptomoedas em repositórios de código aberto. No entanto, este último vetor de ataque sublinha a contínua evolução dos ataques a repositórios.

Para além do Ethereum, foram utilizadas táticas semelhantes em outras plataformas, como um repositório falso no GitHub que se fazia passar por um bot de trading de Solana, que distribuía malware para roubar credenciais de carteiras criptográficas. Além disso, os hackers atacaram "Bitcoinlib", uma biblioteca Python de código aberto projetada para facilitar o desenvolvimento de Bitcoin, o que ilustra ainda mais a natureza diversa e adaptativa dessas ameaças cibernéticas.

Implicações para a segurança blockchain

Esta nova forma de utilizar a tecnologia blockchain para propósitos maliciosos representa um desafio significativo para os sistemas de segurança tradicionais. Ao aproveitar a natureza descentralizada e a confiabilidade das redes blockchain, os atacantes podem criar infraestruturas maliciosas que se tornam difíceis de detectar e neutralizar com ferramentas convencionais.

Para os utilizadores de plataformas blockchain e desenvolvedores, este desenvolvimento sublinha a importância de implementar medidas adicionais de segurança e realizar verificações exaustivas ao interagir com repositórios de código aberto e pacotes de software, especialmente aqueles relacionados com aplicações de criptomoedas e finanças descentralizadas.