Deel dit artikel
Crypto-hackers gebruiken nu Ethereum-smartcontracts om malwarepayloads te maskeren
Eenvoudige code maakte gebruik van Ethereum’s blockchain om verborgen URL's op te halen die geïnfecteerde systemen leidden naar het downloaden van malware van de tweede fase.
Maak ons favoriet op Google
Wat u moet weten:
- Onderzoekers hebben kwaadaardige NPM-pakketten ontdekt die gebruikmaken van Ethereum smart contracts om schadelijke code te verbergen.
- De pakketten vermomden hun activiteiten als legitiem blockchainverkeer, waardoor opsporing bemoeilijkt werd.
- Ontwikkelaars worden gewaarschuwd dat zelfs populaire commits vervalst kunnen worden, wat risico’s oplevert voor de supply chain.
Ethereum is de nieuwste frontlinie geworden voor aanvallen op softwareleveringsketens.
Onderzoekers bij ReversingLabs eerdere deze week heeft twee kwaadaardige NPM-pakketten ontdekt die gebruikmaakten van Ethereum smart contracts om schadelijke code te verbergen, waardoor de malware traditionele beveiligingscontroles kon omzeilen.
Verhaal gaat verder
Mis geen enkel verhaal.Abonneer je vandaag nog op de Crypto Daybook Americas Nieuwsbrief. Bekijk Alle Nieuwsbrieven
NPM is een pakketbeheerder voor de runtime-omgeving Node.js en wordt beschouwd als het grootste softwareregister ter wereld, waar ontwikkelaars toegang hebben tot en code kunnen delen die bijdraagt aan miljoenen softwareprogramma’s.
De pakketten, “colortoolsv2” en “mimelib2,” werden in juli geüpload naar de veelgebruikte Node Package Manager-repository. Op het eerste gezicht leken het eenvoudige hulpmiddelen, maar in de praktijk maakten ze gebruik van de Ethereum-blockchain om verborgen URL’s op te halen die gecompromitteerde systemen aanzetten tot het downloaden van malware van de tweede fase.
Door deze opdrachten in te bedden in een slim contract, vermomden aanvallers hun activiteit als legitiem blockchainverkeer, wat detectie bemoeilijkte.
“Dit is iets wat we eerder niet hebben gezien,” zei ReversingLabs-onderzoeker Lucija Valentić in hun rapport. “Het benadrukt de snelle ontwikkeling van detectie-ontwijkingsstrategieën door kwaadwillende actoren die open source repositories en ontwikkelaars trollen.”
De techniek bouwt voort op een oud draaiboek. Eerdere aanvallen maakten gebruik van vertrouwde diensten zoals GitHub Gists, Google Drive of OneDrive om kwaadaardige links te hosten. Door in plaats daarvan Ethereum-smartcontracts te gebruiken, voegden aanvallers een crypto-getinte draai toe aan een reeds gevaarlijke tactiek in de supply chain.
Het incident maakt deel uit van een bredere campagne. ReversingLabs ontdekte dat de pakketten gekoppeld waren aan nep-GitHub-repositories die zich voordeden als cryptocurrency-handelsbots. Deze repositories waren opgezet met gefingeerde commits, valse gebruikersaccounts en opgeblazen aantallen sterren om legitiem te lijken.
Ontwikkelaars die de code hebben gedownload, liepen het risico malware te importeren zonder zich daarvan bewust te zijn.
Risico's in de toeleveringsketen van open-source crypto-hulpmiddelen zijn niet nieuw. Vorig jaar waarschuwden onderzoekers voor meer dan 20 kwaadaardige campagnes die ontwikkelaars via repositories zoals npm en PyPI doelwit maakten.
Velen waren gericht op het stelen van wallet-gegevens of het installeren van cryptominers. Maar het gebruik van Ethereum smart contracts als leveringsmechanisme toont aan dat tegenstanders zich snel aanpassen om zich te mengen in blockchain-ecosystemen.
Een belangrijke les voor ontwikkelaars is dat populaire commits of actieve beheerders nagemaakt kunnen worden, en zelfs ogenschijnlijk onschuldige pakketten verborgen payloads kunnen bevatten.
