Хакеры начали скрывать вредоносное программное обеспечение в смарт-контрактах Ethereum, используя блокчейн как прикрытие для кибератак. Исследователи компании ReversingLabs обнаружили два пакета в репозитории Node Package Manager (NPM), которые применяли новый метод доставки вредоносных команд и ссылок.
Блокчейн как укрытие для вредоносного кода
Пакеты «colortoolsv2» и «mimelib2», опубликованные в июле этого года, использовали смарт-контракты Ethereum для сокрытия вредоносных команд, которые устанавливали программы-загрузчики на скомпрометированные системы. Исследователь ReversingLabs Луция Валентич (Lucija Valentić) объяснил, что злоумышленники применили «новаторскую и креативную технику загрузки вредоносного ПО на скомпрометированные устройства — смарт-контракты блокчейна Ethereum».
Чтобы избежать сканирования безопасности, пакеты функционировали как простые загрузчики. Вместо прямого размещения вредоносных ссылок они извлекали адреса командных серверов из смарт-контрактов. При установке пакеты обращались к блокчейну для получения URL-адресов загрузки вредоносного ПО второй стадии, что усложняло обнаружение, поскольку трафик блокчейна выглядит легитимно.
Новый вектор атак
Вредоносное ПО, нацеленное на смарт-контракты Ethereum, не является новинкой — его использовала в начале этого года хакерская группировка Lazarus Group, связанная с Северной Кореей. Однако применение смарт-контрактов Ethereum для размещения URL-адресов с вредоносными командами представляет собой принципиально новый подход.
«Это то, чего мы не видели ранее, и это подчеркивает быструю эволюцию стратегий обхода обнаружения злонамеренными субъектами, которые атакуют репозитории с открытым исходным кодом и разработчиков», — отметила Валентич.
Сложная кампания обмана
Вредоносные пакеты стали частью масштабной кампании социальной инженерии и обмана, проводимой преимущественно через GitHub. Злоумышленники создали поддельные репозитории торговых ботов для криптовалют, которые выглядели крайне надежными благодаря:
- Фабрикации коммитов для имитации активной разработки
- Созданию фальшивых аккаунтов пользователей специально для отслеживания репозиториев
- Множественным аккаунтам сопровождающих для симуляции командной работы
- Профессионально выглядящим описаниям проектов и документации
Эволюция угроз
В 2024 году исследователи безопасности задокументировали 23 связанных с криптовалютами вредоносных кампании в репозиториях с открытым исходным кодом. Этот новейший вектор атак демонстрирует эволюцию нападений на репозитории, объединяя технологию блокчейна с изощренной социальной инженерией для обхода традиционных методов обнаружения.
Подобные атаки проводятся не только на Ethereum. В апреле поддельный репозиторий GitHub, выдававший себя за торгового бота Solana, использовался для распространения скрытого вредоносного ПО, крадущего данные криптокошельков.
Использование блокчейна как инструмента сокрытия вредоносного кода представляет собой значительный шаг в развитии киберугроз. Этот метод показывает, как злоумышленники адаптируются к современным технологиям, превращая децентрализованные системы в свое преимущество.
▼
Самые интересные и важные новости на нашем канале в Telegram
