- дата публікації
Хакери знайшли новий спосіб приховувати шкідливе ПЗ у смарт-контрактах Ethereum
- джерело
- сайт
- cointelegraph.com
- відкрити джерело
Зловмисники знайшли новий спосіб доставки шкідливого програмного забезпечення, команд та посилань через смарт-контракти Ethereum, щоб уникнути безпеки сканувань у міру еволюції атак на кодові репозиторії. Дослідники кібербезпеки з компанії ReversingLabs виявили нові зразки відкритого програмного забезпечення на платформі Node Package Manager (NPM), яка містить велику кількість пакетів і бібліотек JavaScript. Шкідливі пакети “colortoolsv2” і “mimelib2”, опубліковані у липні, використали смарт-контракти для приховування шкідливих команд, які встановлювали завантажувачі на уражені системи, пояснила дослідниця ReversingLabs Люція Валентич. Щоб уникнути сканувань безпеки, пакети виконували функцію простих завантажувачів і замість безпосереднього розміщення шкідливих посилань отримували адреси серверів управління з смарт-контрактів. Під час установки пакети запитували дані з блокчейну для отримання URL-адрес для завантаження шкідливого програмного забезпечення другого етапу, що ускладнювало виявлення, оскільки трафік блокчейну виглядає легітимним. Це новий вектор атаки Шкідливе програмне забезпечення, що націлене на смарт-контракти Ethereum, не є новим; раніше цього року його використовувало відоме хакерське угрупування Lazarus Group, пов'язане з Північною Кореєю. Люція Валентич зазначила: “Що нове і відмінне — це використання смарт-контрактів Ethereum для розміщення URL-адрес, де знаходяться шкідливі команди, завантажуючи програмне забезпечення другого етапу.
Це те, чого ми раніше не спостерігали, і це підкреслює швидку еволюцію стратегій уникнення виявлення зловмисниками, які проводять обстеження відкритих репозиторіїв і розробників.” Складна кампанія з обману в криптовалютах Шкідливі пакети були частиною більш широкої соціальної інженерії та кампанії з обману, переважно через GitHub. Зловмисники створили підроблені репозиторії криптовалютних торгівельних ботів, які виглядали дуже надійно через сфабриковані коміти, підроблені облікові записи користувачів для моніторингу репозиторіїв, кілька облікових записів підтримки для симуляції активної розробки та професійно написані описи проектів. У 2024 році дослідники зафіксували 23 шкідливі кампанії, пов'язані з криптовалютами, на відкритих репозиторіях, але цей новий вектор атаки “показує, що атаки на репозиторії еволюціонують”, поєднуючи технології блокчейн з соціальною інженерією для обходу традиційних методів виявлення, підсумувала Валентич. Ці атаки не обмежуються лише Ethereum.
У квітні фейковий репозиторій GitHub, що маскувався під торгового бота Solana, використовувався для поширення прихованого шкідливого програмного забезпечення, яке крало облікові дані криптогаманець.
Хакери також націлювались на “Bitcoinlib”, бібліотеку Python з відкритим кодом, створену для спрощення розробки Bitcoin.