Ethereum Смарт-контракти: Новий прихований вектор для розповсюдження шкідливого ПЗ

Дослідники в галузі кібербезпеки виявили тривожну тенденцію, коли зловмисники вбудовують шкідливі команди в смартконтракти Блокчейн Ethereum, створюючи значні труднощі для систем моніторингу безпеки.

Експерти з безпеки встановили, що ці техніки дозволяють зловмисникам маскувати свої операції в рамках законно виглядаючих блокчейн-транзакцій, значно ускладнюючи зусилля з виявлення традиційними засобами безпеки.

З'являються нові вдосконалені вектори атак на основі блокчейну

Компанія з дотримання норм цифрових активів ReversingLabs виявила два шкідливі пакети, опубліковані в репозиторії Node Package Manager (NPM) у липні, які використовують цю складну техніку.

Пакети — з назвами "colortoolsv2" та "mimelib2" — спочатку виглядали безпечними, але містили зашифрований код, призначений для витягування командних інструкцій з смартконтрактів Ethereum. Замість того, щоб безпосередньо вбудовувати зловмисні URL-адреси, ці пакети функціонували як завантажувачі першого етапу, які отримували адреси серверів управління і контролю з транзакцій у блокчейні, перш ніж розгортати вторинне шкідливе ПЗ.

"Особливо примітним у цій атаці є стратегічне розміщення зловмисних командних URL-адрес у смартконтрактах Ethereum," пояснила Лучія Валентіч, дослідниця з безпеки в ReversingLabs. "Це представляє собою технічну еволюцію, яку ми раніше не спостерігали в природі," додала вона, підкреслюючи швидку адаптацію загрозливих акторів для ухилення від механізмів виявлення безпеки.

Складний соціальний інжиніринг через фальшиві торгові додатки

Відкриті пакунки представляють лише одну частину більшої кампанії обману, яка переважно організована через репозиторії GitHub. Зловмисники створили складні репозиторії торгових ботів криптовалюти з ретельною увагою до автентичності—повністю з вигаданими історіями комітів, кількома шахрайськими профілями утримувачів та всебічною документацією, що має на меті встановити довіру з потенційними жертвами.

Ці репозиторії були ретельно спроектовані, щоб виглядати легітимними та надійними, приховуючи їх справжню мету розповсюдження шкідливого ПЗ через складні тактики соціальної інженерії.

Моніторинг безпеки зафіксував 23 різні зловмисні кампанії, зосереджені на криптовалютах, які націлені на репозиторії з відкритим вихідним кодом лише у 2024 році. Фахівці з безпеки вказують, що ця нова методологія—поєднання виконання команд на основі блокчейну з розвиненими соціальними маніпуляціями—значно підвищує складність оборонних операцій безпеки.

Історичний контекст атак, спрямованих на криптовалюту

Експлуатація інфраструктури Ethereum не є безпрецедентною в загрозовій ландшафті. Раніше цього року дослідники з безпеки пов'язали групу Lazarus, що асоціюється з Північною Кореєю, з операціями з шкідливим програмним забезпеченням, які також використовували взаємодію зі смартконтрактами Ethereum, хоча з різними технічними деталями реалізації.

У квітні кіберзлочинці розповсюдили шахрайський репозиторій GitHub, замаскований під додаток для торгівлі Solana, використовуючи цей вектор для доставки шкідливого програмного забезпечення, призначеного для викрадення облікових даних криптовалютного гаманця.

Інший значний інцидент стосувався пакету Python "Bitcoinlib", бібліотеки для розробки Bitcoin-додатків, який став мішенню для подібних операцій з крадіжки облікових даних.

Хоча конкретні технічні реалізації продовжують еволюціонувати, патерн є незаперечним: інструменти для розробки криптовалют та репозиторії відкритого коду все більше стають основними цілями для складних атак. Інтеграція функцій блокчейну, таких як смартконтракти, як командна інфраструктура суттєво ускладнює зусилля з виявлення та пом'якшення.

Як зазначив Валентіч, зловмисники постійно досліджують інноваційні методи обходу засобів безпеки. Стратегічне розгортання шкідливої командної інфраструктури на смартконтрактах Ethereum демонструє технічну складність, яку сучасні атаки використовують для підтримання оперативних переваг щодо захисту безпеки.