新型恶意软件的出现
威胁行为者发现了一种新的方式,通过以太坊智能合约传递恶意软件、命令和链接,以规避安全扫描。随着攻击手段的演变,代码库的使用也在不断变化。数字资产合规公司ReversingLabs的网络安全研究人员发现了一些在Node Package Manager(NPM)包库中出现的新型开源恶意软件,这个库是一个大型的JavaScript包和库的集合。
ReversingLabs的研究员Lucija Valentić在周三的博客中表示,这些恶意软件包“采用了一种新颖且富有创意的技术,通过以太坊区块链的智能合约在受损设备上加载恶意软件”。
这两个包“colortoolsv2”和“mimelib2”于七月发布,利用智能合约隐藏恶意命令,从而在受损系统上安装下载器恶意软件,Valentić解释道。为了避免安全扫描,这些包作为简单的下载器运行,而不是直接托管恶意链接,而是从智能合约中检索命令和控制服务器地址。当安装后,这些包会查询区块链以获取下载第二阶段恶意软件的URL,这些恶意软件携带有效载荷或执行操作,使得检测变得更加困难,因为区块链流量看起来是合法的。
新的攻击向量
针对以太坊智能合约的恶意软件并不新鲜;今年早些时候,朝鲜关联的黑客组织Lazarus Group就曾使用过。Valentić表示:“新的不同之处在于使用以太坊智能合约来托管恶意命令所在的URL,从而下载第二阶段恶意软件。”她补充道:“这是我们之前未见过的,这突显了恶意行为者在开源代码库和开发者中快速演变的检测规避策略。”
复杂的加密欺骗活动
这些恶意软件包是一个更大、更复杂的社会工程和欺骗活动的一部分,主要通过GitHub进行。威胁行为者创建了假冒的加密货币交易机器人代码库,旨在通过伪造的提交、专门创建的假用户账户来监视代码库、多个维护者账户以模拟活跃开发,以及专业外观的项目描述和文档来显得非常可信。
威胁行为者正在进化
在2024年,安全研究人员记录了23个与加密相关的恶意活动,但这一最新的攻击向量“表明对代码库的攻击正在演变”,结合区块链技术与复杂的社会工程,以绕过传统的检测方法,Valentić总结道。这些攻击不仅限于以太坊。今年四月,一个假冒的GitHub代码库伪装成Solana交易机器人,用于分发隐藏的恶意软件,窃取加密钱包凭证。黑客还针对“Bitcoinlib”,一个旨在简化比特币开发的开源Python库。
