Diesen Artikel teilen
Krypto-Hacker nutzen jetzt Ethereum-Smart-Contracts, um Malware-Nutzlasten zu verschleiern
Ein scheinbar einfacher Code nutzte die Ethereum-Blockchain, um versteckte URLs abzurufen, die kompromittierte Systeme zur Installation von Malware der zweiten Stufe weiterleiteten.
Machen Sie uns bei Google bevorzugt
Was Sie wissen sollten:
- Forscher entdeckten bösartige NPM-Pakete, die Ethereum-Smart-Contracts nutzen, um schädlichen Code zu verbergen.
- Die Pakete tarnten ihre Aktivität als legitimen Blockchain-Verkehr, wodurch eine Erkennung erschwert wurde.
- Entwickler werden gewarnt, dass selbst beliebte Commits gefälscht sein können, was Risiken für die Lieferkette darstellt.
Ethereum ist zur neuesten Front für Angriffe auf die Software-Lieferkette geworden.
Forscher bei ReversingLabs Anfang dieser Woche enthüllte zwei bösartige NPM-Pakete, die Ethereum-Smart-Contracts nutzten, um schädlichen Code zu verbergen, wodurch die Malware herkömmliche Sicherheitsprüfungen umgehen konnte.
Die Geschichte geht weiter
Verpassen Sie keine weitere Geschichte.Abonnieren Sie noch heute den Crypto Daybook Americas Newsletter. Alle Newsletter ansehen
NPM ist ein Paketmanager für die Laufzeitumgebung Node.js und gilt als das weltweit größte Software-Register, in dem Entwickler auf Code zugreifen und diesen teilen können, der zu Millionen von Softwareprogrammen beiträgt.
Die Pakete „colortoolsv2“ und „mimelib2“ wurden im Juli im weit verbreiteten Node Package Manager-Repository hochgeladen. Sie erschienen auf den ersten Blick als einfache Hilfsprogramme, doch in der Praxis griffen sie auf die Ethereum-Blockchain zu, um versteckte URLs abzurufen, die kompromittierte Systeme dazu veranlassten, Malware der zweiten Stufe herunterzuladen.
Durch die Einbettung dieser Befehle in einen Smart Contract tarnen Angreifer ihre Aktivität als legitimen Blockchain-Verkehr, was die Erkennung erschwert.
„Dies ist etwas, das wir bisher noch nicht gesehen haben“, sagte ReversingLabs-Forscherin Lucija Valentić in ihrem Bericht. „Es unterstreicht die schnelle Entwicklung von Erkennungsausweichstrategien durch böswillige Akteure, die Open-Source-Repositorien und Entwickler durchsuchen.“
Die Methode basiert auf einem bewährten Vorgehen. Frühere Angriffe nutzten vertrauenswürdige Dienste wie GitHub Gists, Google Drive oder OneDrive, um bösartige Links zu hosten. Durch die Nutzung von Ethereum-Smart-Contracts haben Angreifer dieser bereits gefährlichen Supply-Chain-Taktik eine Krypto-Variante hinzugefügt.
Der Vorfall ist Teil einer umfassenderen Kampagne. ReversingLabs entdeckte, dass die Pakete mit gefälschten GitHub-Repositories in Verbindung stehen, die sich als Kryptowährungshandels-Bots ausgaben. Diese Repositories wurden mit erfundenen Commits, gefälschten Benutzerkonten und aufgeblähten Sternenzahlen versehen, um legitim zu erscheinen.
Entwickler, die den Code übernommen haben, liefen Gefahr, unbeabsichtigt Malware zu importieren.
Risiken in der Lieferkette bei Open-Source-Krypto-Tools sind nicht neu. Im letzten Jahr warnten Forscher vor mehr als 20 bösartigen Kampagnen, die Entwickler über Repositorien wie npm und PyPI angriffen.
Viele richteten sich darauf, Wallet-Zugangsdaten zu stehlen oder Krypto-Miner zu installieren. Doch die Nutzung von Ethereum-Smart-Contracts als Zustellmechanismus zeigt, dass sich Angreifer schnell anpassen, um sich in Blockchain-Ökosysteme einzufügen.
Eine Erkenntnis für Entwickler ist, dass beliebte Commits oder aktive Maintainer gefälscht werden können und selbst scheinbar harmlose Pakete versteckte Payloads enthalten können.
