イーサリアム スマートコントラクト: マルウェア配布の新しいステルスベクター

サイバーセキュリティ研究者は、脅威アクターがイーサリアムブロックチェーンスマートコントラクト内に悪意のあるコマンドを埋め込むという懸念すべき傾向を特定しており、これによりセキュリティ監視システムに対して重大な課題が生じています。

セキュリティ専門家は、これらの技術が攻撃者に本物のように見えるブロックチェーン取引内での操作をカモフラージュすることを可能にし、従来のセキュリティソリューションによる検出努力を大幅に複雑にすることを明らかにしました。

高度なブロックチェーンベースの攻撃ベクターが出現

デジタル資産コンプライアンス企業ReversingLabsは、7月にNode Package Manager (NPM)リポジトリに公開された2つの悪意のあるパッケージが、この高度な手法を利用していることを発見しました。

これらのパッケージは「colortoolsv2」と「mimelib2」という名前で、最初の検査では無害に見えましたが、イーサリアムのスマートコントラクトからコマンド指示を抽出するために設計された難読化されたコードを含んでいました。悪意のあるペイロードURLを直接埋め込むのではなく、これらのパッケージは第一段階のダウンローダーとして機能し、ブロックチェーン取引からコマンド＆コントロールサーバーのアドレスを取得してから、二次的なマルウェアを展開しました。

"この攻撃で特に注目すべき点は、イーサリアムスマートコントラクト内に悪意のあるコマンドURLを戦略的にホスティングしていることです"と、ReversingLabsのセキュリティ研究者ルチヤ・ヴァレンティッチは説明しました。"これは、これまでのところ実際に観察されていなかった技術的進化を示しています"と彼女は付け加え、脅威アクターがセキュリティ検出メカニズムを回避するために急速に適応していることを強調しました。

偽の取引アプリケーションを通じた巧妙なソーシャルエンジニアリング

発見されたパッケージは、主にGitHubリポジトリを通じて組織されたより広範な欺瞞キャンペーンの一部を表しています。脅威アクターは、信憑性に細心の注意を払って精巧な暗号通貨取引ボットリポジトリを構築しました。これには、作成されたコミット履歴、複数の偽のメンテナープロフィール、および潜在的な犠牲者との信頼性を確立するために設計された包括的なドキュメントが含まれています。

これらのリポジトリは、実際にはマルウェア配布を目的としていることを隠すために、巧妙なソーシャルエンジニアリングの手法を用いて、合法的で信頼できるように注意深く設計されました。

セキュリティモニタリングは、2024年だけでオープンソースリポジトリをターゲットにした23の異なる暗号通貨に特化した悪意のあるキャンペーンを記録しました。セキュリティ専門家は、この新しい方法論がブロックチェーンベースのコマンド実行と高度なソーシャルエンジニアリングを組み合わせており、防御セキュリティ操作の複雑さを大幅に高めると示しています。

暗号通貨を標的とした攻撃の歴史的背景

イーサリアムブロックチェーンのインフラの悪用は、脅威の状況において前例のないものではありません。今年の初め、セキュリティ研究者たちは、北朝鮮に関連するラザルスグループを、異なる技術的実装の詳細を持つイーサリアムのスマートコントラクトの相互作用を利用したマルウェアの運用に関連付けました。

4月に、サイバー犯罪者がソラナのトレーディングボットアプリケーションを装った詐欺的なGitHubリポジトリを配布し、このベクターを使用して暗号通貨ウォレットの資格情報を抽出するために設計されたマルウェアを配信しました。

別の重要な事件は、脅威アクターが同様の認証情報窃盗操作を狙ったビットコインアプリケーション用の開発ライブラリである"Bitcoinlib" Pythonパッケージに関与していました。

特定の技術的実装は進化し続けていますが、そのパターンは明らかです：暗号通貨開発ツールやオープンソースコードリポジトリは、ますます高度な攻撃キャンペーンの主要なターゲットになっています。スマートコントラクトのようなブロックチェーン機能の統合は、検出と緩和の努力を大幅に複雑にしています。

バレンティッチが観察したように、脅威アクターは常にセキュリティコントロールを回避するための革新的な方法を模索しています。イーサリアムスマートコントラクト上での悪意のあるコマンドインフラストラクチャの戦略的展開は、現代の攻撃者がセキュリティ防御に対して運用上の優位性を維持するために採用する技術的な洗練を示しています。