Hackers de Criptomoedas Estão Agora Usando Contratos Inteligentes da Ethereum para Ocultar Cargas Maliciosas

Ethereum tornou-se o mais recente campo de batalha para ataques à cadeia de suprimentos de software.

Pesquisadores da ReversingLabs no início desta semana revelou dois pacotes NPM maliciosos que utilizavam contratos inteligentes Ethereum para ocultar código prejudicial, permitindo que o malware contornasse verificações tradicionais de segurança.

NPM é um gerenciador de pacotes para o ambiente de execução Node.js e é considerado o maior registro de software do mundo, onde desenvolvedores podem acessar e compartilhar códigos que contribuem para milhões de programas de software.

Os pacotes, “colortoolsv2” e “mimelib2,” foram carregados no repositório amplamente utilizado do Node Package Manager em julho. À primeira vista, pareciam utilitários simples, mas, na prática, acessavam a blockchain do Ethereum para obter URLs ocultos que direcionavam sistemas comprometidos a baixar malware de segunda etapa.

Ao incorporar esses comandos em um contrato inteligente, os atacantes disfarçaram suas atividades como tráfego legítimo da blockchain, tornando a detecção mais difícil.

“Isto é algo que não vimos anteriormente,” afirmou a pesquisadora da ReversingLabs, Lucija Valentić, em seu relatório. “Isso destaca a rápida evolução das estratégias de evasão de detecção por atores maliciosos que estão atacando repositórios de código aberto e desenvolvedores.”

A técnica baseia-se em um antigo manual. Ataques anteriores utilizaram serviços confiáveis como GitHub Gists, Google Drive ou OneDrive para hospedar links maliciosos. Ao aproveitar contratos inteligentes da Ethereum, os atacantes adicionaram uma abordagem com sabor cripto a uma tática de cadeia de suprimentos já perigosa.

O incidente faz parte de uma campanha mais ampla. A ReversingLabs descobriu que os pacotes estavam vinculados a repositórios falsos do GitHub que se apresentavam como bots de negociação de criptomoedas. Esses repositórios foram preenchidos com commits fabricados, contas de usuários falsas e contagens infladas de estrelas para parecerem legítimos.

Desenvolvedores que baixaram o código correram o risco de importar malware sem estarem cientes disso.

Riscos na cadeia de suprimentos em ferramentas de criptomoedas open-source não são novidade. No ano passado, pesquisadores identificaram mais de 20 campanhas maliciosas direcionadas a desenvolvedores através de repositórios como npm e PyPI.

Muitos visavam roubar credenciais de carteiras ou instalar mineradores de criptomoedas. Mas o uso de contratos inteligentes Ethereum como mecanismo de entrega mostra que os adversários estão se adaptando rapidamente para se integrar aos ecossistemas blockchain.

Uma lição para os desenvolvedores é que commits populares ou mantenedores ativos podem ser falsificados, e até mesmo pacotes aparentemente inofensivos podem conter cargas ocultas.