- дата публикации
Хакеры нашли новый способ скрывать вредоносное ПО в смарт-контрактах Ethereum
- источник
- сайт
- cointelegraph.com
- открыть источник
Злоумышленники нашли новый способ доставки вредоносного программного обеспечения, команд и ссылок через смарт-контракты Ethereum, чтобы избежать безопасности сканирований по мере эволюции атак на кодовые репозитории. Исследователи кибербезопасности из компании ReversingLabs обнаружили новые образцы открытого программного обеспечения на платформе Node Package Manager (NPM), которая содержит большое количество пакетов и библиотек JavaScript. Вредоносные пакеты “colortoolsv2” и “mimelib2”, опубликованные в июле, использовали смарт-контракты для сокрытия вредоносных команд, которые устанавливали загрузчики на зараженные системы, объяснила исследователь ReversingLabs Лючия Валентич. Чтобы избежать сканирований безопасности, пакеты выполняли функцию простых загрузчиков и вместо непосредственного размещения вредоносных ссылок получали адреса серверов управления из смарт-контрактов. Во время установки пакеты запрашивали данные из блокчейна для получения URL-адресов для загрузки вредоносного ПО второго этапа, что усложняло обнаружение, поскольку трафик блокчейна выглядит легитимным. Это новый вектор атаки. Вредоносное программное обеспечение, нацеленное на смарт-контракты Ethereum, не является новым; ранее в этом году его использовало известное хакерское объединение Lazarus Group, связанное с Северной Кореей. Лючия Валентич отметила: “Что новое и отличительное — это использование смарт-контрактов Ethereum для размещения URL-адресов, где находятся вредоносные команды, загружающие программное обеспечение второго этапа.
Это то, чего мы ранее не наблюдали, и это подчеркивает быструю эволюцию стратегий уклонения от обнаружения злоумышленниками, которые проводят обследование открытых репозиториев и разработчиков.” Сложная кампания по обману в криптовалютах. Вредоносные пакеты были частью более широкой социальной инженерии и кампании по обману, в основном через GitHub. Злоумышленники создали поддельные репозитории криптовалютных торговых ботов, которые выглядели очень надежно благодаря сфабрикованным коммитам, поддельным учетным записям пользователей для мониторинга репозиториев, нескольким учетным записям поддержки для симуляции активной разработки и профессионально написанным описаниям проектов. В 2024 году исследователи зафиксировали 23 вредоносные кампании, связанные с криптовалютами, на открытых репозиториях, но этот новый вектор атаки “показывает, что атаки на репозитории эволюционируют”, сочетая технологии блокчейна с социальной инженерией для обхода традиционных методов обнаружения, подытожила Валентич. Эти атаки не ограничиваются только Ethereum.
В апреле фейковый репозиторий GitHub, маскировавшийся под торгового бота Solana, использовался для распространения скрытого вредоносного ПО, которое крало учетные данные криптокошельков.
Хакеры также нацеливались на “Bitcoinlib”, библиотеку Python с открытым кодом, созданную для упрощения разработки Bitcoin.