Крипто-хакеры используют смарт-контракты Ethereum для маскировки вредоносного ПО в пакетах NPM

Крипто-хакеры теперь используют смарт-контракты Ethereum для маскировки вредоносных загруженных файлов. Ethereum стал новой ареной для атак на цепочку поставок программного обеспечения.

Исследователи компании ReversingLabs на этой неделе обнаружили два вредоносных пакета NPM, которые использовали смарт-контракты Ethereum для скрытия вредоносного кода, позволяя программам-вредителям обойти традиционные средства безопасности.

NPM — это менеджер пакетов для среды выполнения Node.js и считается крупнейшим в мире реестром программного обеспечения, где разработчики могут получать и делиться кодом, который используется в миллионах программ.

Пакеты `colortoolsv2` и `mimelib2` были загружены в широко используемый репозиторий Node Package Manager в июле. На первый взгляд они казались простыми утилитами, но на практике они использовали блокчейн Ethereum для поиска скрытых URL-адресов, которые направляли скомпрометированные системы на загрузку вредоносного ПО второго этапа.

Встраивая эти команды в смарт-контракт, злоумышленники замаскировали свою деятельность под законный блокчейн-трафик, что усложнило обнаружение.

“Это то, что мы не видели раньше,” сказала исследовательница ReversingLabs Люция Валентич в своем отчете. “Это подчеркивает быстрое развитие стратегий уклонения от обнаружения со стороны злонамеренных участников, которые целятся в открытые репозитории и разработчиков.”

Эта техника основывается на старом подходе. Прошлые атаки использовали доверенные сервисы, такие как GitHub Gists, Google Drive или OneDrive, для размещения вредоносных ссылок. Используя смарт-контракты Ethereum, злоумышленники добавили крипто-изюминку к уже опасной тактике цепочки поставок.

Происшествие является частью более широкой кампании. ReversingLabs обнаружила пакеты, связанные с поддельными репозиториями GitHub, которые выдавали себя за криптовалютные торговые боты. Эти репозитории были наполнены поддельными коммитами, фиктивными учетными записями пользователей и завышенным количеством звезд, чтобы выглядеть легитимными.

Разработчики, загружающие код, рисковали импортировать вредоносное ПО, не подозревая об этом.

Риски цепочки поставок в инструментах с открытым исходным кодом для криптовалют не новы. В прошлом году исследователи отметили более 20 вредоносных кампаний, нацеленных на разработчиков через репозитории, такие как npm и PyPI.

Многие из них были нацелены на кражу учетных данных кошельков или установку криптомайнеров. Однако использование смарт-контрактов Ethereum в качестве механизма доставки показывает, что противники быстро адаптируются, чтобы вписаться в экосистемы блокчейна.

Вывод для разработчиков заключается в том, что популярные коммиты или активные поддерживающие могут быть фальсифицированы, и даже на вид безобидные пакеты могут содержать скрытые загруженные файлы.