Поділитися цією статтею
Криптохакери тепер використовують смарт-контракти Ethereum для маскування шкідливих навантажень
Простий на вигляд код звертався до блокчейну Ethereum для отримання прихованих URL-адрес, які направляли скомпрометовані системи на завантаження шкідливого програмного забезпечення другого етапу.
Зробіть нас пріоритетним джерелом у Google
Що варто знати:
- Дослідники виявили шкідливі пакети NPM, які використовують смарт-контракти Ethereum для приховування шкідливого коду.
- Пакети маскували свою активність під легітимний трафік блокчейну, що ускладнювало їх виявлення.
- Розробникам нагадують, що навіть популярні коміти можуть бути підроблені, що створює ризики для ланцюга постачання.
Ethereum став новим фронтом для атак на ланцюжки постачання програмного забезпечення.
Дослідники з ReversingLabs раніше цього тижня виявив два шкідливі пакети NPM, які використовували смарт-контракти Ethereum для приховування шкідливого коду, що дозволяло шкідливому програмному забезпеченню обходити традиційні перевірки безпеки.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути всі розсилки
NPM — це менеджер пакетів для середовища виконання Node.js та вважається найбільшим у світі реєстром програмного забезпечення, де розробники можуть отримувати доступ та обмінюватися кодом, що сприяє створенню мільйонів програмних продуктів.
Пакети «colortoolsv2» та «mimelib2» було завантажено до широко використовуваного репозиторію Node Package Manager у липні. На перший погляд вони здавалися простими утилітами, проте на практиці вони використовували блокчейн Ethereum для отримання прихованих URL-адрес, які спрямовували скомпрометовані системи на завантаження шкідливого програмного забезпечення другого етапу.
Вбудовуючи ці команди у смарт-контракт, зловмисники маскували свою діяльність під легітимний блокчейн-трафік, що ускладнювало їх виявлення.
«Це те, чого ми раніше не бачили», — зазначила дослідниця ReversingLabs Люція Валентич у своєму звіті. «Це підкреслює швидку еволюцію стратегій ухилення від виявлення зловмисниками, які тролять відкриті репозиторії та розробників.»
Ця методика базується на перевіреній схемі. Попередні атаки використовували довірені сервіси, такі як GitHub Gists, Google Drive або OneDrive, для розміщення шкідливих посилань. Замість цього, застосовуючи смарт-контракти Ethereum, зловмисники додали криптовалютний акцент до вже небезпечної тактики ланцюга постачання.
Інцидент є частиною ширшої кампанії. Компанія ReversingLabs виявила пакети, пов’язані з фальшивими репозиторіями на GitHub, які позиціонували себе як торгові боти для криптовалют. Ці репозиторії були наповнені фіктивними комітами, підробленими обліковими записами користувачів та завищеною кількістю зірок, щоб виглядати легітимними.
Розробники, які завантажили код, ризикували імпортувати шкідливе програмне забезпечення, не усвідомлюючи цього.
Ризики ланцюга постачання у відкритому криптовалютному інструментарії не є новими. Минулого року дослідники виявили понад 20 зловмисних кампаній, спрямованих на розробників через репозиторії, такі як npm та PyPI.
Багато з них були спрямовані на викрадення облікових даних гаманців або встановлення крипто-майнерів. Проте використання смарт-контрактів Ethereum як механізму доставки свідчить про те, що противники швидко адаптуються, щоб інтегруватися у блокчейн-екосистеми.
Важливий висновок для розробників полягає в тому, що популярні коміти або активні підтримувачі можуть бути підроблені, а навіть на перший погляд нешкідливі пакети можуть містити приховані шкідливі компоненти.
