惡意軟件利用以太坊的智能合約來規避檢測

根據最近的研究，網路犯罪分子開發了一種復雜的方法，通過以太坊區塊鏈上的智能合約分發惡意軟件，繞過傳統的網路安全系統。這種網路攻擊的演變已被ReversingLabs的安全研究人員識別，他們在Node Package Manager (NPM)的存儲庫中發現了新的開源惡意軟件，這是一系列廣泛的JavaScript包和庫。

區塊鏈中的新攻擊向量

ReversingLabs的研究員Lucija Valentić在一份技術報告中指出，被稱爲"colortoolsv2"和"mimelib2"的惡意軟件包利用以太坊上的智能合約來隱藏惡意命令。這些於七月發布的包作爲下載器工作，從智能合約中獲取命令和控制服務器的地址，而不是直接托管惡意連結。這種方法使得檢測工作變得復雜，因爲區塊鏈流量看起來是合法的，從而允許惡意軟件在受損系統上安裝額外的軟件。

以太坊智能合約用於托管包含惡意命令的URL，代表了一種創新的惡意軟件分發技術。Valentić指出，這種方法標志着在規避檢測策略方面的重大變化，同時惡意行爲者越來越多地利用開源代碼庫和開發者。

戰術的演變與歷史背景

這種技術之前由與朝鮮相關的拉撒路集團在今年年初使用。然而，目前的做法顯示出網路犯罪分子使用的攻擊向量迅速演變。

惡意軟件包是一個更廣泛的欺騙活動的一部分，該活動主要通過GitHub進行。攻擊者創建了虛假的加密貨幣交易機器人倉庫，通過僞造的提交、虛假的用戶帳戶、多重維護者帳戶以及看似專業的項目描述和文檔，使其看起來可信。這個復雜的社會工程策略旨在通過將區塊鏈技術與欺騙性實踐相結合，規避傳統的檢測方法。

不斷增長的威脅概況

在2024年，安全研究人員記錄了與加密貨幣相關的23個惡意軟件活動，這些活動發生在開源代碼庫中。然而，最後這種攻擊向量強調了對代碼庫攻擊的持續演變。

除了以太坊，其他平台也採用了類似的策略，例如一個假冒Solana交易機器人的GitHub虛假倉庫，該倉庫分發惡意軟件以竊取加密錢包的憑證。此外，黑客還攻擊了"Bitcoinlib"，這是一個旨在簡化比特幣開發的開源Python庫，這進一步說明了這些網路威脅的多樣性和適應性。

區塊鏈安全性的影響

這種利用區塊鏈技術進行惡意目的的新方式對傳統安全系統構成了重大挑戰。通過利用區塊鏈網路的去中心化和可靠性，攻擊者可以創建惡意基礎設施，這些基礎設施難以用常規工具檢測和抵消。

對於區塊鏈平台的用戶和開發者來說，這一發展強調了在與開源代碼庫和軟件包交互時，實施額外安全措施和進行徹底檢查的重要性，特別是那些與加密貨幣和去中心化金融應用相關的。