Хакер використовує Ethereum смартконтракти для приховання шкідливих програм: новий аналіз загроз

Команда дослідників ReversingLabs нещодавно виявила атаку, що використовує смартконтракти Ethereum для приховування URL-адрес шкідливих програм. Дослідження показує, що зловмисники використовують npm-пакети colortoolv2 та mimelib2 як завантажувачі шкідливих програм.

Ці npm пакунки після встановлення отримають команди та контроль для двофазного шкідливого програмного забезпечення через запит до смартконтрактів Ethereum (C2). Дослідниця ReversingLabs Люція Валентич заявила, що цей спосіб атаки є досить креативним і раніше не зустрічався. Такий підхід зловмисників може обійти традиційне сканування, оскільки ці сканування зазвичай лише позначають підозрілі URL в скриптах пакунків.

Загрози змовників вміло приховують шкідливі програми

Ethereum смартконтракти є відкритими автоматизованими програмами блокчейна. У цій атаці хакери використали смартконтракти, щоб приховати шкідливі програми від публічного зору. Шкідливе навантаження було приховане в простому index.js файлі, який при виконанні підключався до блокчейну для отримання деталей C2 сервера.

Дослідження ReversingLabs показують, що пакети завантажувачів не є поширеними на npm, а використання блокчейн-хостингу вказує на новий етап ухилення від технологій виявлення.

Безпекове зауваження: Розробники повинні бути особливо обачними при використанні відкритих бібліотек, особливо тих, що стосуються функцій, пов'язаних з криптовалютою. Рекомендується провести всебічний аудит безпеки перед впровадженням будь-яких сторонніх залежностей.

Зловмисники підробляють репозиторії GitHub для підвищення репутації

Дослідники провели широкомасштабне сканування GitHub і виявили, що ці npm пакети вбудовані в репозиторії, які маскуються під торгових роботів криптовалюти, таких як Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 тощо. Ці репозиторії підроблені під професійні інструменти, мають багато комітів, контейнери та зірки, але насправді є вигаданими.

Дослідження показало, що акаунти, які здійснювали коміти або форки цих репозиторіїв, були створені в липні, і не демонстрували жодної активності кодування. Більшість репозиторіїв акаунтів містять README файл. Розслідування виявило, що кількість комітів штучно генерується автоматизованими процесами, щоб перебільшити активність кодування. Наприклад, більшість зафіксованих комітів є лише змінами в ліцензійних файлах, а не суттєвими оновленнями.

Безпекові рекомендації: Користувачі CEX та інвестори в криптовалюти при використанні відкритих інструментів на GitHub не повинні оцінювати надійність проекту лише на основі кількості зірок, частоти внесення змін та інших поверхневих даних. Рекомендується детально перевіряти якість коду та стан підтримки.

Ethereum блокчейн шкідливі програми вбудовані ознаки загрози виявлення нового етапу

Цей напад, що був виявлений, є останнім у серії атак на екосистему блокчейнів. У березні цього року ResearchLabs також виявив інші шкідливі npm пакети, які модифікують легітимні пакети Ethers, впроваджуючи код зворотного шелу.

Дослідження показують, що у 2024 році було зафіксовано 23 випадки подій, пов'язаних з криптовалютами, які включають різні форми, такі як шкідливі програми та витоки свідчень.

Це відкриття, хоча і використовує деякі старі прийоми, але вводить контракти Ethereum як новий механізм. Дослідник Valentic зазначив, що це підкреслює швидку еволюцію зловмисників у уникненні виявлення, які постійно шукають нові способи проникнення в проекти з відкритим вихідним кодом та середовища розробників.

Безпекові рекомендації: Для платформ CEX та користувачів цей новий тип загроз означає необхідність посилення безпеки аудиту смартконтрактів та підвищення контролю за контрактами, які можуть бути зловживані. Платформам слід розглянути можливість впровадження більш суворих механізмів перевірки стороннього коду.

Незважаючи на те, що залучені npm пакети colortoolsv2 та mimelib2 були видалені з npm, а відповідні облікові записи GitHub закриті, ця подія підкреслює тривалу еволюцію екосистеми програмних загроз. Це нагадує нам, що навіть, здавалося б, безпечні функції блокчейну можуть бути використані хакерами, стаючи потенційною загрозою безпеці.