Хакери використовують смарт-контракти Ethereum для маскування шкідливих програм у пакетах NPM

Хакери криптовалют тепер використовують смарт-контракти Ethereum для маскування шкідливих програм.

Ethereum став новим фронтом для атак на програмне забезпечення. Дослідники компанії ReversingLabs раніше цього тижня виявили два шкідливих пакети NPM, які використовували смарт-контракти Ethereum для приховування небезпечного коду, що дозволяло шкідливому програмному забезпеченню обминати традиційні перевірки безпеки.

NPM - це менеджер пакетів для середовища виконання Node.js і вважається найбільшою у світі реєстрацією програмного забезпечення, де розробники можуть отримувати та ділитися кодом, що сприяє мільйонам програм.

Пакети, “colortoolsv2” та “mimelib2,” були завантажені до широко використовуваного репозиторію Node Package Manager у липні. На перший погляд вони здавалася простими утилітами, але на практиці вони використовували блокчейн Ethereum для отримання прихованих URL, які направляли зламані системи для завантаження шкідливого програмного забезпечення другого етапу.

Вбудовуючи ці команди в смарт-контракт, нападники замаскували свою діяльність під легітимний блокчейн трафік, що ускладнило виявлення.

“Це те, що ми раніше не спостерігали,” - сказала дослідниця ReversingLabs Люція Валентич у своєму звіті. “Це підкреслює швидку еволюцію стратегій ухилення від виявлення з боку зловмисників, які полюють за відкритими репозиторіями та розробниками.”

Ця технологія базується на старій тактиці. Раніші атаки використовували такі надійні сервіси, як GitHub Gists, Google Drive або OneDrive для розміщення шкідливих посилань. Використовуючи смарт-контракти Ethereum, нападники додали крипто-смак до вже небезпечної тактики постачання програмного забезпечення.

Цей інцидент є частиною більш широкої кампанії. ReversingLabs виявили пакети, пов`язані з фальшивими репозиторіями GitHub, які видавали себе за боти для торгівлі криптовалютами. Ці репозиторії були заповнені фальшивими комітами, фейковими обліковими записами користувачів та завищеними оцінками, аби виглядати легітимно.

Розробники, які завантажували код, ризикували імпортувати шкідливе програмне забезпечення, не усвідомлюючи цього.

Ризики в ланцюгах постачання у відкритих інструментах для криптовалют не є новими. Минулого року дослідники відзначили більше 20 шкідливих кампаній, які націлювалися на розробників через репозиторії, такі як npm та PyPI.

Багато з них були спрямовані на крадіжку облікових даних гаманців або установку криптографічних майнерів. Але використання смарт-контрактів Ethereum як механізму доставки свідчить про те, що вороги швидко адаптуються, щоб вписатися в екосистеми блокчейну.

Висновок для розробників полягає в тому, що популярні коміти чи активні утримувачі можуть бути підроблені, і навіть на перший погляд безневинні пакети можуть нести приховані загрози.