Hakerzy kryptowalutowi używają teraz smart kontraktów Ethereum do ukrywania złośliwego oprogramowania

Ethereum stał się najnowszym celem ataków na łańcuch dostaw oprogramowania.

Badacze z ReversingLabs na początku tego tygodnia odkryli dwa złośliwe pakiety NPM, które wykorzystywały smart kontrakty Ethereum do ukrywania szkodliwego kodu, co pozwalało złośliwemu oprogramowaniu omijać tradycyjne mechanizmy bezpieczeństwa.

NPM to menedżer pakietów dla środowiska uruchomieniowego Node.js i jest uważany za największy na świecie rejestr oprogramowania, w którym deweloperzy mogą uzyskiwać dostęp do kodu i dzielić się nim, przyczyniając się do rozwoju milionów programów.

Pakiety „colortoolsv2” i „mimelib2” zostały przesłane do szeroko wykorzystywanego repozytorium Node Package Manager w lipcu. Na pierwszy rzut oka wydawały się prostymi narzędziami, ale w rzeczywistości wykorzystywały blockchain Ethereum do pobierania ukrytych adresów URL, które kierowały zainfekowane systemy do pobierania drugiego etapu złośliwego oprogramowania.

Poprzez osadzenie tych poleceń w smart kontrakcie, atakujący maskowali swoją aktywność jako legalny ruch blockchain, co utrudniało wykrycie.

„To jest coś, czego wcześniej nie widzieliśmy” – powiedziała w swoim raporcie badaczka ReversingLabs, Lucija Valentić. „Podkreśla to szybki rozwój strategii unikania wykrycia przez złośliwych aktorów, którzy przeszukują otwarte repozytoria i deweloperów.”

Technika ta opiera się na znanych już metodach. W przeszłości ataki wykorzystywały zaufane usługi, takie jak GitHub Gists, Google Drive czy OneDrive do hostowania złośliwych linków. Wykorzystując zamiast tego smart kontrakty Ethereum, atakujący dodali kryptowalutowy akcent do już niebezpiecznej taktyki ataków na łańcuch dostaw.

Incydent ten jest częścią szerszej kampanii. ReversingLabs odkrył pakiety powiązane z fałszywymi repozytoriami GitHub podszywającymi się pod cryptocurrency trading bots. Repozytoria te były wypełnione sfabrykowanymi commitami, fałszywymi kontami użytkowników i zawyżoną liczbą gwiazdek, aby wyglądały na wiarygodne.

Deweloperzy, którzy pobierali ten kod, ryzykowali nieświadome zaimportowanie złośliwego oprogramowania.

Ryzyka związane z łańcuchem dostaw w otwartoźródłowych narzędziach kryptowalutowych nie są nowe. W zeszłym roku badacze zgłosili ponad 20 złośliwych kampanii wymierzonych w deweloperów poprzez repozytoria takie jak npm i PyPI.

Wiele z nich miało na celu kradzież danych uwierzytelniających do portfeli lub instalację koparek kryptowalut. Jednak wykorzystanie smart kontraktów Ethereum jako mechanizmu dostarczania pokazuje, że przeciwnicy szybko dostosowują się, by wtopić się w ekosystemy blockchain.

Wniosek dla deweloperów jest taki, że popularne commity lub aktywni maintainerzy mogą być fałszowani, a nawet pozornie nieszkodliwe pakiety mogą zawierać ukryte ładunki.