Криптохакери тепер використовують смарт-контракти Ethereum для маскування шкідливих програм

Ethereum став новим фронтом для атак на ланцюг постачання програмного забезпечення.

Дослідники з ReversingLabs на початку цього тижня виявили два шкідливих пакети NPM, які використовували смарт-контракти Ethereum для приховування шкідливого коду, що дозволяло шкідливому ПЗ обходити традиційні перевірки безпеки.

NPM — це менеджер пакетів для середовища виконання Node.js і вважається найбільшим у світі реєстром програмного забезпечення, де розробники можуть отримувати доступ до коду та ділитися ним, що сприяє створенню мільйонів програмних продуктів.

Пакети “colortoolsv2” та “mimelib2” були завантажені до широко використовуваного репозиторію Node Package Manager у липні. На перший погляд вони здавалися простими утилітами, але на практиці використовували блокчейн Ethereum для отримання прихованих URL-адрес, які спрямовували скомпрометовані системи на завантаження другого етапу шкідливого ПЗ.

Вбудовуючи ці команди у смарт-контракт, зловмисники маскували свою діяльність під легітимний блокчейн-трафік, що ускладнювало виявлення.

“Ми раніше такого не бачили,” — зазначила дослідниця ReversingLabs Lucija Valentić у своєму звіті. “Це підкреслює швидку еволюцію стратегій ухилення від виявлення з боку зловмисників, які полюють на відкриті репозиторії та розробників.”

Ця техніка базується на старих прийомах. У минулому атаки використовували довірені сервіси, такі як GitHub Gists, Google Drive або OneDrive, для розміщення шкідливих посилань. Використовуючи замість цього смарт-контракти Ethereum, зловмисники додали крипто-елемент до вже небезпечної тактики атак на ланцюг постачання.

Інцидент є частиною ширшої кампанії. ReversingLabs виявила пакети, пов’язані з фейковими репозиторіями GitHub, які видавали себе за cryptocurrency trading bots. Ці репозиторії були наповнені вигаданими комітами, фіктивними обліковими записами користувачів та завищеною кількістю зірок, щоб виглядати легітимно.

Розробники, які завантажували цей код, ризикували імпортувати шкідливе ПЗ, навіть не підозрюючи про це.

Ризики ланцюга постачання у відкритих криптоінструментах не є новими. Минулого року дослідники виявили понад 20 шкідливих кампаній, спрямованих на розробників через такі репозиторії, як npm та PyPI.

Багато з них були націлені на крадіжку облікових даних гаманців або встановлення криптомайнерів. Але використання смарт-контрактів Ethereum як механізму доставки показує, що противники швидко адаптуються, щоб злитися з екосистемами блокчейну.

Висновок для розробників полягає в тому, що популярні коміти або активні мейнтейнери можуть бути підроблені, і навіть на вигляд нешкідливі пакети можуть містити приховані шкідливі навантаження.