Hacker lợi dụng hợp đồng thông minh Ethereum để ẩn phần mềm độc hại: Phân tích mối đe dọa mới

Nhóm nghiên cứu ReversingLabs gần đây đã phát hiện một hoạt động tấn công sử dụng hợp đồng thông minh Ethereum để ẩn URL phần mềm độc hại. Nghiên cứu cho thấy, kẻ tấn công đã sử dụng gói npm colortoolv2 và mimelib2 làm trình tải xuống phần mềm độc hại.

Các gói npm này sau khi được cài đặt sẽ truy vấn hợp đồng thông minh Ethereum để lấy thông tin về cơ sở hạ tầng điều khiển và lệnh của phần mềm độc hại giai đoạn hai (C2). Nhà nghiên cứu ReversingLabs, Lucija Valentic, cho biết phương thức tấn công này rất sáng tạo và chưa từng xuất hiện trước đây. Phương pháp của kẻ tấn công có thể vượt qua các quét truyền thống, vì các quét này thường chỉ đánh dấu các URL nghi ngờ trong kịch bản gói.

Các tác nhân đe dọa khéo léo ẩn giấu mã độc

Ethereum hợp đồng thông minh là chương trình tự động hóa trên blockchain công khai. Trong cuộc tấn công này, hacker đã sử dụng hợp đồng thông minh để ẩn mã độc hại trong tầm nhìn của công chúng. Tải trọng độc hại được ẩn trong một tệp index.js đơn giản, khi thực thi sẽ kết nối với blockchain để lấy thông tin chi tiết về máy chủ C2.

Nghiên cứu của ReversingLabs cho thấy, gói tải xuống không phổ biến trên npm, trong khi việc sử dụng lưu trữ blockchain đánh dấu một giai đoạn mới trong công nghệ tránh phát hiện.

Thông báo an toàn: Các nhà phát triển cần phải cẩn thận khi sử dụng thư viện mã nguồn mở, đặc biệt là những thư viện liên quan đến chức năng tiền điện tử. Nên thực hiện kiểm tra an ninh toàn diện trước khi đưa vào bất kỳ phụ thuộc bên thứ ba nào.

Kẻ tấn công giả mạo kho GitHub để nâng cao uy tín

Các nhà nghiên cứu đã thực hiện quét rộng rãi trên GitHub và phát hiện ra rằng các gói npm này bị nhúng trong các kho giả mạo thành robot giao dịch tiền điện tử, như Solana-trading-bot-v2, Hyperliquid-trading-bot-v2, v.v. Những kho này được giả mạo thành công cụ chuyên nghiệp, có nhiều lần gửi, container và đánh dấu sao, nhưng thực tế đều là ảo.

Nghiên cứu cho thấy, các tài khoản thực hiện việc gửi hoặc phân nhánh các kho này đều được tạo ra vào tháng Bảy, không có hoạt động lập trình nào được hiển thị. Hầu hết các kho của các tài khoản đều nhúng một tệp README. Cuộc điều tra tiết lộ, số lần gửi là do quy trình tự động tạo ra nhằm phóng đại hoạt động lập trình. Ví dụ, hầu hết các lần gửi đã được ghi lại chỉ là sửa đổi các tệp giấy phép, chứ không phải là cập nhật có nội dung thực chất.

Lời khuyên an toàn: Người dùng CEX và nhà đầu tư tiền điện tử khi sử dụng các công cụ mã nguồn mở trên GitHub không nên chỉ dựa vào số lượng sao, tần suất cam kết và các dữ liệu bề mặt khác để đánh giá độ tin cậy của dự án. Nên kiểm tra kỹ lưỡng chất lượng mã và tình trạng bảo trì.

Ethereum blockchain phần mềm độc hại nhúng biểu tượng đe dọa phát hiện giai đoạn mới

Cuộc tấn công được phát hiện lần này là một trong những cuộc tấn công mới nhất nhắm vào hệ sinh thái blockchain. Vào tháng 3 năm nay, ResearchLabs cũng đã phát hiện ra các gói npm độc hại khác, chúng đã sửa đổi các gói Ethers hợp pháp bằng cách nhúng mã shell đảo ngược.

Nghiên cứu cho thấy, trong năm 2024 đã ghi nhận 23 sự kiện liên quan đến tiền điện tử trong chuỗi cung ứng, bao gồm nhiều hình thức như phần mềm độc hại và rò rỉ chứng từ.

Phát hiện lần này mặc dù sử dụng một số chiêu thức cũ, nhưng đã giới thiệu hợp đồng thông minh Ethereum như một cơ chế mới. Nhà nghiên cứu Valentic chỉ ra rằng, điều này làm nổi bật sự tiến hóa nhanh chóng của những kẻ có hành vi độc hại trong việc tránh bị phát hiện, họ liên tục tìm kiếm những phương pháp mới để xâm nhập vào các dự án mã nguồn mở và môi trường phát triển.

Thông điệp an toàn: Đối với các nền tảng CEX và người dùng, những mối đe dọa mới này có nghĩa là cần tăng cường kiểm toán an ninh đối với hợp đồng thông minh và nâng cao giám sát đối với các hợp đồng có khả năng bị lạm dụng. Các nền tảng nên xem xét việc thực hiện cơ chế kiểm tra mã của bên thứ ba nghiêm ngặt hơn.

Mặc dù các gói npm liên quan là colortoolsv2 và mimelib2 đã bị xóa khỏi npm, và các tài khoản GitHub liên quan cũng đã bị đóng, nhưng sự kiện này làm nổi bật sự tiến hóa liên tục của hệ sinh thái mối đe dọa phần mềm. Nó nhắc nhở chúng ta rằng ngay cả những tính năng blockchain dường như vô hại cũng có thể bị tin tặc lợi dụng, trở thành những mối nguy cơ tiềm ẩn cho an ninh.