Ny Trussel i Cybersikkerhed
Trusselaktører har opdaget en ny metode til at levere ondsindet software, kommandoer og links inde i Ethereum smart contracts for at undgå sikkerhedsscanninger, mens angreb ved hjælp af kode-repositorier udvikler sig. Cybersikkerhedsforskere fra det digitale aktiv compliance-firma ReversingLabs har identificeret nye stykker open-source malware på Node Package Manager (NPM) pakke-repositoriet, som er en stor samling af JavaScript-pakker og biblioteker.
“Malware-pakkerne anvender en ny og kreativ teknik til at indlæse malware på kompromitterede enheder via smart contracts på Ethereum blockchain,” sagde ReversingLabs-forsker Lucija Valentić i et blogindlæg onsdag.
De to pakker, “colortoolsv2” og “mimelib2,” offentliggjort i juli, “misbrugte smart contracts til at skjule ondsindede kommandoer, der installerede downloader malware på kompromitterede systemer,” forklarede Valentić. For at undgå sikkerhedsscanninger fungerede pakkerne som simple downloadere, og i stedet for direkte at hoste ondsindede links, hentede de kommando- og kontrolserveradresser fra smart contracts. Når de blev installeret, ville pakkerne forespørge blockchainen for at hente URL’er til download af anden fase malware, som bærer payload eller handling, hvilket gør det sværere at opdage, da blockchain-trafik ser legitim ud.
En Ny Angrebsvektor
Malware, der målretter Ethereum smart contracts, er ikke ny; det blev brugt tidligere i år af den nordkoreansk tilknyttede hackinggruppe Lazarus Group. “Det, der er nyt og anderledes, er brugen af Ethereum smart contracts til at hoste de URL’er, hvor ondsindede kommandoer er placeret, der downloader den anden fase malware,” sagde Valentić, som tilføjede: “Det er noget, vi ikke har set før, og det fremhæver den hurtige udvikling af detektionsundgåelsesstrategier blandt ondsindede aktører, der troller open source-repositorier og udviklere.”
Indviklet Kryptodeception-Kampagne
Malware-pakkerne var en del af en større, indviklet social engineering og deception-kampagne, der primært opererede gennem GitHub. Trusselaktører skabte falske kryptovaluta handelsbot-repositorier, der var designet til at se meget troværdige ud gennem fabrikerede commits, falske brugerkonti oprettet specifikt for at overvåge repositorier, flere vedligeholdelses-konti for at simulere aktiv udvikling, samt professionelt udseende projektbeskrivelser og dokumentation.
Trusselaktører Udvikler Sig
I 2024 dokumenterede sikkerhedsforskere 23 kryptorelaterede ondsindede kampagner på open-source repositorier, men denne seneste angrebsvektor “viser, at angreb på repositorier udvikler sig” og kombinerer blockchain-teknologi med indviklet social engineering for at omgå traditionelle detektionsmetoder, konkluderede Valentić. Disse angreb udføres ikke kun på Ethereum. I april blev et falsk GitHub-repository, der udgav sig for at være en Solana handelsbot, brugt til at distribuere obscureret malware, der stjal kryptovaluta wallet legitimationsoplysninger. Hackere har også målrettet “Bitcoinlib,” et open-source Python-bibliotek designet til at gøre Bitcoin-udvikling lettere.
