Смарт-контракты Ethereum: Новый скрытый вектор для распространения вредоносного ПО

Исследователи в области кибербезопасности выявили тревожную тенденцию, когда злоумышленники внедряют вредоносные команды в смарт-контракты Блокчейна Ethereum, создавая серьезные проблемы для систем мониторинга безопасности.

Эксперты по безопасности определили, что эти техники позволяют злоумышленникам маскировать свои операции в рамках законоподобных транзакций блокчейна, существенно усложняя усилия по обнаружению традиционными решениями безопасности.

Появление продвинутых векторов атак на основе блокчейна

Компания по соблюдению норм цифровых активов ReversingLabs обнаружила два вредоносных пакета, опубликованных в репозитории Node Package Manager (NPM) в июле, которые используют эту сложную технику.

Пакеты — под названием "colortoolsv2" и "mimelib2" — изначально казались безобидными при первом осмотре, но содержали запутанный код, предназначенный для извлечения командных инструкций из смарт-контрактов Ethereum. Вместо того чтобы напрямую встраивать злонамеренные URL-адреса, эти пакеты функционировали как загрузчики первого этапа, которые получали адреса серверов управления и контроля из транзакций на блокчейне, прежде чем развернуть вторичное вредоносное ПО.

"Особенно примечательно в этой атаке то, что злонамеренные командные URL-адреса размещаются в смарт-контрактах Ethereum," объяснила Лучия Валентиć, исследователь безопасности в ReversingLabs. "Это представляет собой техническую эволюцию, которую мы ранее не наблюдали в дикой природе," добавила она, подчеркивая быструю адаптацию злоумышленников к механизмам обнаружения безопасности.

Сложный социальный инжиниринг через фальшивые торговые приложения

Обнаруженные пакеты представляют собой лишь один компонент более широкой кампании обмана, в первую очередь организованной через репозитории GitHub. Угрожаюшие участники создали сложные репозитории торговых ботов по криптовалюте с тщательным вниманием к подлинности — с поддельными историями коммитов, несколькими мошенническими профилями поддерживающих и обширной документацией, предназначенной для создания доверия у потенциальных жертв.

Эти репозитории были тщательно разработаны, чтобы выглядеть легитимными и надежными, скрывая свою истинную цель - распространение вредоносного ПО с помощью сложных тактик социального инжиниринга.

Мониторинг безопасности зафиксировал 23 различных зловредных кампании, сосредоточенных на криптовалюте, нацеленных на открытые репозитории только в 2024 году. Специалисты по безопасности указывают, что эта новая методология — сочетание выполнения команд на базе блокчейна с современным социальным инжинирингом — значительно увеличивает сложность операций по защитной безопасности.

Исторический контекст атак на криптовалюту

Эксплуатация инфраструктуры Ethereum не является беспрецедентной в угрозах. Ранее в этом году исследователи безопасности связали группу Лазарь, ассоциированную с Северной Кореей, с операциями вредоносного ПО, которые также использовали взаимодействия со смарт-контрактами Ethereum, хотя с различными техническими деталями реализации.

В апреле киберпреступники распространили мошеннический репозиторий GitHub, маскирующийся под приложение торгового бота Solana, используя этот вектор для доставки вредоносного ПО, предназначенного для эксфильтрации учетных данных криптовалютных кошельков.

Еще один значительный инцидент связан с библиотекой Python "Bitcoinlib", разработанной для приложений Bitcoin, которую злоумышленники нацелили на аналогичные операции по краже учетных данных.

Хотя конкретные технические реализации продолжают развиваться, паттерн очевиден: инструменты разработки криптовалют и репозитории открытого кода становятся все более привлекательными целями для сложных атак. Интеграция функций блокчейна, таких как смарт-контракты, в качестве командной инфраструктуры значительно усложняет усилия по обнаружению и смягчению угроз.

Как отметил Валентиć, злоумышленники постоянно ищут инновационные методы обхода средств безопасности. Стратегическое развертывание вредоносной командной инфраструктуры на смарт-контрактах Ethereum демонстрирует техническую сложность, которую современные атакующие используют для поддержания операционных преимуществ против средств защиты.