脅威アクターの新たな手法
脅威アクターは、攻撃がコードリポジトリを利用して進化する中で、Ethereumスマートコントラクト内に悪意のあるソフトウェアやコマンド、リンクを配信する新たな方法を見つけました。デジタル資産コンプライアンス企業ReversingLabsのサイバーセキュリティ研究者は、JavaScriptパッケージとライブラリの大規模なコレクションであるNode Package Manager (NPM)パッケージリポジトリで発見された新しいオープンソースマルウェアの一部を特定しました。
ReversingLabsの研究者Lucija Valentićは水曜日のブログ投稿で、「マルウェアパッケージは、侵害されたデバイスにマルウェアをロードするための新しく創造的な手法を採用しています。具体的には、Ethereumブロックチェーンのスマートコントラクトを利用しています」と述べました。
7月に公開された2つのパッケージ「colortoolsv2」と「mimelib2」は、「スマートコントラクトを悪用して、侵害されたシステムにダウンローダーマルウェアをインストールする悪意のあるコマンドを隠しました」とValentićは説明しました。これらのパッケージは、セキュリティスキャンを回避するために単純なダウンローダーとして機能し、悪意のあるリンクを直接ホストする代わりに、スマートコントラクトからコマンドおよびコントロールサーバーのアドレスを取得します。インストールされると、パッケージはブロックチェーンを照会して、ペイロードやアクションを持つ第二段階のマルウェアをダウンロードするためのURLを取得し、ブロックチェーンのトラフィックが正当であるように見えるため、検出が難しくなります。
新たな攻撃ベクトル
Ethereumスマートコントラクトを標的としたマルウェアは新しいものではなく、今年初めに北朝鮮に関連するハッキング集団Lazarus Groupによっても使用されました。「新しい点は、悪意のあるコマンドが存在するURLをホストするためにEthereumスマートコントラクトを使用することです。これにより、第二段階のマルウェアをダウンロードします」とValentićは述べ、「これは以前には見られなかったもので、オープンソースリポジトリや開発者をトロールする悪意のあるアクターによる検出回避戦略の急速な進化を浮き彫りにしています」と付け加えました。
巧妙な暗号詐欺キャンペーン
マルウェアパッケージは、主にGitHubを通じて運営されるより大規模で巧妙なソーシャルエンジニアリングおよび欺瞞キャンペーンの一部でした。脅威アクターは、偽の暗号通貨取引ボットリポジトリを作成し、虚偽のコミットやリポジトリを監視するために特別に作成された偽のユーザーアカウント、アクティブな開発を模倣するための複数のメンテナアカウント、プロフェッショナルなプロジェクト説明やドキュメントを通じて非常に信頼できるように見せかけました。
脅威アクターは進化しています。2024年、セキュリティ研究者はオープンソースリポジトリで23の暗号関連の悪意のあるキャンペーンを記録しましたが、この最新の攻撃ベクトルは「リポジトリへの攻撃が進化している」ことを示しており、ブロックチェーン技術と巧妙なソーシャルエンジニアリングを組み合わせて従来の検出方法を回避しています」とValentićは結論付けました。これらの攻撃はEthereumだけでなく、4月にはSolana取引ボットを装った偽のGitHubリポジトリが、暗号ウォレットの認証情報を盗む隠されたマルウェアを配布するために使用されました。また、ハッカーは「Bitcoinlib」、Bitcoin開発を容易にするために設計されたオープンソースのPythonライブラリも標的にしています。
