Kötü amaçlı yazılım, tespiti atlatmak için Ethereum'un akıllı sözleşmelerini kullanıyor.

Son araştırmalara göre, siber suçlular Ethereum blockchain'inde akıllı sözleşmeler aracılığıyla kötü amaçlı yazılım dağıtmak için sofistike bir yöntem geliştirdiler ve geleneksel siber güvenlik sistemlerini atlatmayı başardılar. Bu siber saldırılardaki evrim, ReversingLabs güvenlik araştırmacıları tarafından tanımlandı ve Node Package Manager (NPM) deposunda açık kaynaklı yeni bir kötü amaçlı yazılım keşfedildi; bu, geniş bir JavaScript paketleri ve kütüphaneleri koleksiyonudur.

Blok zincirinde yeni bir saldırı vektörü

ReversingLabs'tan araştırmacı Lucija Valentić, teknik bir yayında "colortoolsv2" ve "mimelib2" olarak adlandırılan kötü amaçlı paketlerin, kötü amaçlı komutları gizlemek için Ethereum'daki akıllı sözleşmeleri kullandığını vurguladı. Temmuz ayında yayımlanan bu paketler, doğrudan kötü amaçlı bağlantıları barındırmak yerine akıllı sözleşmelerden komut ve kontrol sunucularının adreslerini elde eden indiriciler olarak çalışıyor. Bu yaklaşım, blockchain trafiğinin meşru görünmesi nedeniyle tespit çabalarını zorlaştırmakta ve kötü amaçlı yazılımın, tehlikeye atılmış sistemlerde ek yazılımlar kurmasına olanak tanımaktadır.

Ethereum akıllı sözleşmelerinin kötü amaçlı yazılımların komutlarını barındıran URL'leri barındırmak için kullanılmasının, kötü amaçlı yazılım dağıtımında yenilikçi bir teknik temsil ettiğini belirtti. Valentić, bu yönteminin tespiti aşmak için stratejilerde önemli bir değişim olduğunu vurguladı; kötü niyetli aktörler giderek daha fazla açık kaynak kodu depolarını ve geliştiricileri istismar ediyor.

Taktiklerin Evrimi ve Tarihsel Bağlam

Bu teknik, bu yılın başlarında Kuzey Kore ile bağlantılı Lazarus grubuna tarafından daha önce kullanıldı. Ancak, mevcut yaklaşım, siber suçlular tarafından kullanılan saldırı vektörlerinde hızlı bir evrimi göstermektedir.

Kötü amaçlı yazılımlar, esasen GitHub üzerinden işleyen daha geniş bir aldatma kampanyasının parçasını oluşturuyor. Saldırganlar, kripto para ticareti botlarının sahte depolarını oluşturarak, bunları uydurma commit'ler, sahte kullanıcı hesapları, çoklu bakımcı hesapları ve profesyonel görünümlü proje açıklamaları ve belgeleri ile inandırıcı hale getiriyorlar. Bu karmaşık sosyal mühendislik stratejisi, blok zincir teknolojisini aldatıcı uygulamalarla birleştirerek geleneksel tespit yöntemlerini aşmayı hedefliyor.

Artan tehditler manzarası

2024'te, güvenlik araştırmacıları açık kaynak kod havuzlarında kripto para ile ilgili 23 kötü amaçlı yazılım kampanyasını belgeledi. Ancak, bu son saldırı vektörü, havuzlara yönelik saldırıların sürekli evrimini vurgulamaktadır.

Ethereum dışında, benzer taktikler diğer platformlarda da kullanılmıştır; örneğin, bir ticaret botu olarak kendini tanıtan sahte bir GitHub deposu, kripto cüzdanı kimlik bilgilerini çalmak için kötü amaçlı yazılım dağıtıyordu. Ayrıca, hackerlar Bitcoin geliştirmeyi kolaylaştırmak için tasarlanmış açık kaynaklı bir Python kütüphanesi olan "Bitcoinlib"i de hedef almışlardır; bu da bu siber tehditlerin çeşitliliğini ve uyum sağlama yeteneğini bir kez daha ortaya koymaktadır.

Blockchain güvenliği için sonuçlar

Bu kötü amaçlı yazılım kullanarak blok zinciri teknolojisini kullanmanın yeni bir yolu, geleneksel güvenlik sistemleri için önemli bir zorluk teşkil etmektedir. Blok zinciri ağlarının merkeziyetsiz doğasını ve güvenilirliğini kullanarak, saldırganlar tespit edilmesi ve geleneksel araçlarla etkisiz hale getirilmesi zor olan kötü amaçlı altyapılar oluşturabilirler.

Blockchain platform kullanıcıları ve geliştiricileri için, bu gelişme açık kaynak kodu depoları ve yazılım paketleri ile etkileşimde bulunurken ek güvenlik önlemleri almanın ve kapsamlı kontroller yapmanın önemini vurgulamaktadır, özellikle kripto para ve merkeziyetsiz finans uygulamaları ile ilgili olanlar.