Theo các báo cáo gần đây, các tội phạm mạng đã phát triển một phương pháp tinh vi để phân phối phần mềm độc hại thông qua hợp đồng thông minh trên Ethereum, né tránh các quét bảo mật truyền thống. Sự tiến hóa này trong các cuộc tấn công mạng đã được các nhà nghiên cứu an ninh mạng của ReversingLabs xác định, những người đã phát hiện phần mềm độc hại mã nguồn mở mới trong kho lưu trữ Node Package Manager (NPM), một bộ sưu tập rộng lớn các gói và thư viện JavaScript.

Nhà nghiên cứu của ReversingLabs, Lucija Valentić, đã nhấn mạnh trong một bài đăng gần đây rằng các gói phần mềm độc hại, được gọi là "colortoolsv2" và "mimelib2", sử dụng hợp đồng thông minh của Ethereum để ẩn các lệnh độc hại. Các gói này, được phát hành vào tháng 7, hoạt động như các trình tải xuống lấy địa chỉ từ các máy chủ chỉ huy và điều khiển từ các hợp đồng thông minh thay vì lưu trữ trực tiếp các liên kết độc hại. Cách tiếp cận này làm phức tạp các nỗ lực phát hiện, vì lưu lượng truy cập của chuỗi khối có vẻ hợp pháp, cho phép phần mềm độc hại cài đặt phần mềm tải xuống vào các hệ thống bị xâm phạm.

Việc sử dụng hợp đồng thông minh của Ethereum để lưu trữ các URL chứa các lệnh độc hại đại diện cho một kỹ thuật mới trong việc triển khai phần mềm độc hại. Valentić chỉ ra rằng phương pháp này đánh dấu một sự thay đổi đáng kể trong các chiến lược tránh phát hiện, khi mà các tác nhân độc hại ngày càng khai thác nhiều hơn các kho mã nguồn mở và các nhà phát triển. Chiến thuật này đã được nhóm Lazarus, liên kết với Triều Tiên, sử dụng trước đó vào đầu năm nay, nhưng cách tiếp cận hiện tại cho thấy sự tiến hóa nhanh chóng trong các vectơ tấn công.

Các gói phần mềm độc hại là một phần của một chiến dịch lừa đảo rộng lớn hơn, chủ yếu hoạt động thông qua GitHub. Các tội phạm mạng đã tạo ra các kho lưu trữ giả mạo của bot giao dịch tiền điện tử, trình bày chúng một cách đáng tin cậy thông qua các cam kết giả mạo, tài khoản người dùng giả, nhiều tài khoản duy trì và mô tả cũng như tài liệu dự án có vẻ chuyên nghiệp. Chiến lược kỹ thuật xã hội tinh vi này nhằm mục đích đánh lừa các phương pháp phát hiện truyền thống bằng cách kết hợp công nghệ blockchain với các thực hành lừa đảo.

Vào năm 2024, các nhà nghiên cứu bảo mật đã ghi nhận 23 chiến dịch độc hại liên quan đến tiền điện tử trong các kho mã nguồn mở. Tuy nhiên, vectơ tấn công gần đây này nhấn mạnh sự phát triển liên tục của các cuộc tấn công vào kho mã. Ngoài Ethereum, các chiến thuật tương tự đã được sử dụng trên các nền tảng khác, chẳng hạn như một kho GitHub giả mạo mà giả danh là một bot giao dịch của Solana và phân phối phần mềm độc hại để đánh cắp thông tin đăng nhập ví tiền điện tử. Hơn nữa, các hacker đã tấn công "Bitcoinlib", một thư viện Python mã nguồn mở được thiết kế để tạo điều kiện phát triển Bitcoin, điều này càng minh họa thêm tính đa dạng và thích ứng của những mối đe dọa mạng này.