Nakahanap ang mga threat actor ng bagong paraan upang maghatid ng mga mapanirang software, utos, at link sa loob ng mga Ethereum smart contract para makaiwas sa security scan. Ito ay habang patuloy na nagbabago ang mga atake na gumagamit ng mga code repository.
Natuklasan ng mga mananaliksik sa cybersecurity mula sa ReversingLabs, isang kompanya na nakatuon sa digital asset compliance, ang mga bagong open-source malware na natagpuan sa repository ng Node Package Manager (NPM). Ang NPM ay isang malaking koleksyon ng mga JavaScript package at library.
Ayon kay Lucija Valentić, isang mananaliksik sa ReversingLabs, sa isang blog post noong Setyembre 3, ang mga malware package ay "gumamit ng bago at malikhaing paraan upang mag-load ng malware sa mga nakompromisong aparato — mga smart contract para sa Ethereum blockchain."
Ang dalawang package na "colortoolsv2" at "mimelib2," na inilathala noong Hulyo, ay "nagamit nang mali ang mga smart contract para itago ang mga mapanirang utos na nag-install ng downloader malware sa mga nakompromisong sistema," paliwanag ni Valentić.
Upang makaiwas sa mga security scan, gumana ang mga package bilang simpleng mga downloader. Sa halip na direktang mag-host ng mga mapanirang link, kinuha nila ang mga command and control server address mula sa mga smart contract.
Kapag na-install, ang mga package ay kukuha ng impormasyon mula sa blockchain para makuha ang mga URL na gagamitin sa pag-download ng second-stage malware. Ito ang nagdadala ng payload o aksyon, na nagpapahirap sa pagtukoy dahil ang blockchain traffic ay lumalabas na lehitimo.
Isang bagong paraan ng pag-atake
Hindi na bago ang paggamit ng malware para atakihin ang mga Ethereum smart contract. Ginamit na ito noon pa, sa unang bahagi ng taong ito ng Lazarus Group, isang hacking collective na may kaugnayan sa Hilagang Korea.
“Ang bago at naiiba ay ang paggamit ng mga Ethereum smart contract upang i-host ang mga URL kung saan nakatago ang mga mapanirang utos, na nagda-download ng second-stage malware,” sabi ni Valentić. Dagdag niya pa:
“Iyan ay isang bagay na hindi pa natin nakita noon, at ipinapakita nito ang mabilis na ebolusyon ng mga paraan upang maiwasan ang pagtuklas na ginagamit ng mga mapanirang aktor na naghahanap sa mga open source repository at developer”
Isang detalyado at masalimuot na kampanya ng panlilinlang sa crypto
Ang mga malware package ay bahagi ng mas malaking, masalimuot na social engineering at kampanya ng panlilinlang na pangunahing gumagana sa pamamagitan ng GitHub.
Gumawa ang mga threat actor ng mga pekeng repository ng cryptocurrency trading bot na idinisenyo upang magmukhang lubhang mapagkakatiwalaan sa pamamagitan ng mga gawa-gawang commits, mga pekeng user accounts na partikular na ginawa para subaybayan ang mga repository, maramihang maintainer accounts upang gayahin ang aktibong development, at mga propesyonal na deskripsyon at dokumentasyon ng proyekto.
Umuunlad ang mga threat actor
Sa taong 2024, naitala ng mga security researcher ang 23 na crypto-related malicious campaigns sa mga open-source repositories. Ngunit ang pinakahuling attack vector na ito ay "nagpapakita na ang mga atake sa mga repository ay nagbabago." Pinagsasama nito ang blockchain technology at masalimuot na social engineering upang makalusot sa mga tradisyonal na paraan ng pagtukoy, ayon sa pagtatapos ni Valentić.
Ang mga pag-atakeng ito ay hindi lamang isinasagawa sa Ethereum. Noong Abril, isang pekeng GitHub repository na nagpapakilala bilang isang Solana trading bot ang ginamit upang magkalat ng nakatagong malware na nagnakaw ng mga kredensyal ng crypto wallet. Tinatarget din ng mga hacker ang Bitcoinlib, isang open-source Python library na idinisenyo upang gawing mas madali ang pagde-develop ng Bitcoin.