Поделиться этой статьей
Крипто-хакеры теперь используют смарт-контракты Ethereum для маскировки вредоносных нагрузок
Простой на первый взгляд код обращался к блокчейну Ethereum для получения скрытых URL-адресов, которые направляли скомпрометированные системы на загрузку вредоносного ПО второго этапа.
Сделайте нас предпочтительным источником в Google
Что нужно знать:
- Исследователи обнаружили вредоносные пакеты NPM, использующие смарт-контракты Ethereum для скрытия вредоносного кода.
- Пакеты маскировали свою активность под легитимный блокчейн-трафик, что затрудняло их обнаружение.
- Разработчикам предупреждают, что даже популярные коммиты могут быть подделаны, создавая риски для цепочки поставок.
Ethereum стал новым фронтом для атак на цепочки поставок программного обеспечения.
Исследователи из ReversingLabs ранее на этой неделе выявил два вредоносных пакета NPM, которые использовали смарт-контракты Ethereum для сокрытия вредоносного кода, что позволяло вредоносному ПО обходить традиционные проверки безопасности.
Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
NPM — это менеджер пакетов для среды выполнения Node.js и считается крупнейшим в мире реестром программного обеспечения, где разработчики могут получать доступ и обмениваться кодом, который используется в миллионах программных продуктов.
Пакеты «colortoolsv2» и «mimelib2» были загружены в широко используемый репозиторий Node Package Manager в июле. На первый взгляд они казались простыми утилитами, однако на практике обращались к блокчейну Ethereum для получения скрытых URL-адресов, которые направляли скомпрометированные системы на загрузку вредоносного ПО второго этапа.
Встраивая эти команды в смарт-контракт, злоумышленники маскировали свою деятельность под легитимный блокчейн-трафик, что значительно усложняло их обнаружение.
«Это то, чего мы ранее не наблюдали», — заявила исследователь ReversingLabs Лусия Валентич в своем отчете. «Это подчеркивает быстрое развитие стратегий обхода обнаружения со стороны злоумышленников, которые занимаются троллингом открытых исходных репозиториев и разработчиков.»
Техника основана на старой методике. В прошлом атаки использовали доверенные сервисы, такие как GitHub Gists, Google Drive или OneDrive, для размещения вредоносных ссылок. Используя вместо этого смарт-контракты Ethereum, злоумышленники внесли крипто-нотку в уже опасную тактику атаки на цепочку поставок.
Инцидент является частью более широкой кампании. Компания ReversingLabs обнаружила пакеты, связанные с поддельными репозиториями GitHub, выдававшими себя за торговых ботов криптовалюты. Эти репозитории были заполнены сфабрикованными коммитами, фиктивными учетными записями пользователей и завышенным количеством звезд, чтобы выглядеть легитимно.
Разработчики, которые загрузили код, рисковали непреднамеренно импортировать вредоносное ПО.
Риски в цепочках поставок открытого программного обеспечения для криптовалют не являются новыми. В прошлом году исследователи выявили более 20 вредоносных кампаний, нацеленных на разработчиков через репозитории, такие как npm и PyPI.
Многие были направлены на кражу учетных данных кошельков или установку криптомайнеров. Однако использование смарт-контрактов Ethereum в качестве механизма доставки показывает, что противники быстро адаптируются, чтобы сливаться с экосистемами блокчейн.
Вывод для разработчиков заключается в том, что популярные коммиты или активные мейнтейнеры могут быть подделаны, и даже кажущиеся безобидными пакеты могут содержать скрытые вредоносные компоненты.
