Các hacker tiền mã hóa hiện đang sử dụng hợp đồng thông minh Ethereum để che giấu mã độc.

Ethereum đã trở thành mặt trận mới nhất cho các cuộc tấn công chuỗi cung ứng phần mềm.

Các nhà nghiên cứu tại ReversingLabs đầu tuần này đã phát hiện hai gói NPM độc hại sử dụng smart contract của Ethereum để che giấu mã độc hại, cho phép phần mềm độc hại vượt qua các kiểm tra bảo mật truyền thống.

NPM là một trình quản lý gói cho môi trường runtime Node.js và được xem là kho lưu trữ phần mềm lớn nhất thế giới, nơi các nhà phát triển có thể truy cập và chia sẻ mã nguồn đóng góp cho hàng triệu chương trình phần mềm.

Hai gói này, “colortoolsv2” và “mimelib2”, đã được tải lên kho Node Package Manager phổ biến vào tháng 7. Ban đầu, chúng có vẻ như là các tiện ích đơn giản, nhưng trên thực tế, chúng đã tận dụng blockchain của Ethereum để lấy các URL ẩn, chỉ đạo các hệ thống bị xâm nhập tải về phần mềm độc hại giai đoạn hai.

Bằng cách nhúng các lệnh này vào trong smart contract, kẻ tấn công đã ngụy trang hoạt động của mình thành lưu lượng hợp pháp trên blockchain, khiến việc phát hiện trở nên khó khăn hơn.

“Đây là điều mà chúng tôi chưa từng thấy trước đây,” nhà nghiên cứu Lucija Valentić của ReversingLabs cho biết trong báo cáo của họ. “Nó cho thấy sự phát triển nhanh chóng của các chiến lược né tránh phát hiện bởi các tác nhân độc hại đang lùng sục các kho mã nguồn mở và nhà phát triển.”

Kỹ thuật này dựa trên một phương thức cũ. Các cuộc tấn công trước đây đã sử dụng các dịch vụ đáng tin cậy như GitHub Gists, Google Drive hoặc OneDrive để lưu trữ các liên kết độc hại. Bằng cách tận dụng smart contract của Ethereum, kẻ tấn công đã thêm một yếu tố liên quan đến tiền mã hóa vào chiến thuật chuỗi cung ứng vốn đã nguy hiểm.

Sự cố này là một phần của chiến dịch lớn hơn. ReversingLabs đã phát hiện các gói này liên kết với các kho GitHub giả mạo đóng vai trò là cryptocurrency trading bot. Các kho này được lấp đầy bằng các commit giả, tài khoản người dùng giả và số lượng sao tăng ảo để trông hợp pháp.

Các nhà phát triển tải mã nguồn này có nguy cơ nhập phần mềm độc hại mà không hề hay biết.

Rủi ro chuỗi cung ứng trong các công cụ mã nguồn mở liên quan đến crypto không phải là mới. Năm ngoái, các nhà nghiên cứu đã cảnh báo hơn 20 chiến dịch độc hại nhắm vào các nhà phát triển thông qua các kho như npm và PyPI.

Nhiều chiến dịch nhằm đánh cắp thông tin đăng nhập ví hoặc cài đặt crypto miner. Tuy nhiên, việc sử dụng smart contract của Ethereum như một cơ chế phân phối cho thấy các đối thủ đang thích nghi nhanh chóng để hòa nhập vào hệ sinh thái blockchain.

Bài học rút ra cho các nhà phát triển là các commit phổ biến hoặc người duy trì hoạt động có thể bị làm giả, và ngay cả những gói tưởng chừng vô hại cũng có thể chứa payload ẩn.