Condividi questo articolo
Gli hacker di criptovalute stanno ora utilizzando i contratti intelligenti di Ethereum per mascherare i payload di malware
Un codice dall’aspetto semplice ha sfruttato la blockchain di Ethereum per recuperare URL nascosti che hanno indirizzato i sistemi compromessi a scaricare malware di seconda fase.
Rendici preferiti su Google
Cosa sapere:
- I ricercatori hanno scoperto pacchetti NPM dannosi che utilizzano smart contract di Ethereum per nascondere codice maligno.
- I pacchetti hanno camuffato la loro attività come traffico legittimo della blockchain, rendendo difficile la rilevazione.
- Gli sviluppatori sono avvertiti che anche commit popolari possono essere falsificati, comportando rischi per la catena di approvvigionamento.
Ethereum è diventato l'ultimo fronte per gli attacchi alla catena di approvvigionamento del software.
Ricercatori di ReversingLabs all'inizio di questa settimana ha scoperto due pacchetti NPM dannosi che utilizzavano smart contract Ethereum per nascondere codice malevolo, consentendo al malware di bypassare i controlli di sicurezza tradizionali.
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
NPM è un gestore di pacchetti per l’ambiente di esecuzione Node.js ed è considerato il più grande registro di software al mondo, dove gli sviluppatori possono accedere e condividere codice che contribuisce a milioni di programmi software.
I pacchetti, “colortoolsv2” e “mimelib2,” sono stati caricati nel luglio scorso nel popolare repository Node Package Manager. A prima vista sembravano semplici utility, ma in pratica sfruttavano la blockchain di Ethereum per recuperare URL nascosti che inducevano i sistemi compromessi a scaricare malware di secondo stadio.
Incorporando questi comandi all'interno di un contratto intelligente, gli attaccanti hanno mascherato la loro attività come traffico legittimo sulla blockchain, rendendo più difficile la rilevazione.
“Questo è qualcosa che non avevamo visto in precedenza,” ha dichiarato la ricercatrice di ReversingLabs Lucija Valentić nel loro rapporto. “Evidenzia l’evoluzione rapida delle strategie di elusione della rilevazione da parte di attori malevoli che stanno esaminando repository open source e sviluppatori.”
La tecnica si basa su un vecchio manuale. Attacchi passati hanno utilizzato servizi affidabili come GitHub Gists, Google Drive o OneDrive per ospitare link dannosi. Sfruttando invece i smart contract di Ethereum, gli aggressori hanno aggiunto una variante in chiave crypto a una tattica della supply chain già pericolosa.
L'incidente fa parte di una campagna più ampia. ReversingLabs ha scoperto che i pacchetti erano collegati a falsi repository GitHub che si spacciavano per bot di trading di criptovalute. Questi repository erano gonfiati con commit fabbricati, account utente fasulli e un numero esagerato di stelle per apparire legittimi.
Gli sviluppatori che hanno prelevato il codice hanno rischiato di importare malware senza esserne consapevoli.
I rischi legati alla supply chain negli strumenti open-source per crypto non sono una novità. Lo scorso anno, i ricercatori hanno segnalato oltre 20 campagne dannose che prendevano di mira gli sviluppatori attraverso repository come npm e PyPI.
Molti erano destinati a rubare le credenziali del portafoglio o a installare miner di criptovalute. Tuttavia, l'uso dei contratti intelligenti di Ethereum come meccanismo di consegna dimostra che gli avversari si stanno adattando rapidamente per integrarsi negli ecosistemi blockchain.
Un aspetto importante per gli sviluppatori è che i commit popolari o i manutentori attivi possono essere falsificati, e anche pacchetti apparentemente innocui possono contenere payload nascosti.
