Bagong Paraan ng Pag-atake sa Ethereum Smart Contracts
Natuklasan ng mga banta na aktor ang isang bagong paraan upang maghatid ng nakakapinsalang software, mga utos, at mga link sa loob ng mga Ethereum smart contract upang makaiwas sa mga security scan habang umuunlad ang mga pag-atake gamit ang mga code repository. Ayon sa mga mananaliksik sa cybersecurity mula sa digital asset compliance firm na ReversingLabs, natuklasan ang mga bagong piraso ng open-source malware sa Node Package Manager (NPM) package repository, isang malaking koleksyon ng mga JavaScript package at library.
Sinabi ni Lucija Valentić, isang mananaliksik ng ReversingLabs, sa isang blog post noong Miyerkules na ang mga malware package ay “gumagamit ng isang bago at malikhaing teknika para sa pag-load ng malware sa mga compromised na device — mga smart contract para sa Ethereum blockchain.” Ang dalawang package, “colortoolsv2” at “mimelib2,” na inilathala noong Hulyo, ay “nang-abuso sa mga smart contract upang itago ang mga nakakapinsalang utos na nag-install ng downloader malware sa mga compromised na sistema,” ipinaliwanag ni Valentić.
Upang makaiwas sa mga security scan, ang mga package ay gumana bilang simpleng downloader at sa halip na direktang mag-host ng mga nakakapinsalang link, nakuha nila ang mga address ng command at control server mula sa mga smart contract. Kapag na-install, ang mga package ay magtatanong sa blockchain upang kunin ang mga URL para sa pag-download ng second-stage malware, na nagdadala ng payload o aksyon, na nagpapahirap sa pagtuklas dahil ang blockchain traffic ay mukhang lehitimo.
Isang Bagong Attack Vector
Ang malware na tumutok sa mga Ethereum smart contract ay hindi bago; ginamit ito mas maaga sa taong ito ng North Korean-affiliated hacking collective na Lazarus Group. “Ang bago at iba ay ang paggamit ng mga Ethereum smart contract upang i-host ang mga URL kung saan matatagpuan ang mga nakakapinsalang utos, na nagda-download ng second-stage malware,” sabi ni Valentić, na nagdagdag: “Iyan ay isang bagay na hindi pa natin nakita dati, at ito ay nagpapakita ng mabilis na pag-unlad ng mga estratehiya sa pag-iwas sa pagtuklas ng mga nakakapinsalang aktor na nagmamasid sa mga open source repository at mga developer.”
Masalimuot na Kampanya ng Pandaraya sa Crypto
Ang mga malware package ay bahagi ng isang mas malawak, masalimuot na kampanya ng social engineering at pandaraya na pangunahing umaandar sa pamamagitan ng GitHub. Lumikha ang mga banta na aktor ng mga pekeng cryptocurrency trading bot repository na dinisenyo upang magmukhang lubos na mapagkakatiwalaan sa pamamagitan ng mga pekeng commit, mga pekeng account ng gumagamit na nilikha partikular upang magmasid sa mga repository, maraming maintainer account upang gayahin ang aktibong pag-unlad, at mga propesyonal na paglalarawan ng proyekto at dokumentasyon.
Umuunlad na mga Banta na Aktor
Noong 2024, naitala ng mga mananaliksik sa seguridad ang 23 crypto-related na nakakapinsalang kampanya sa mga open-source repository, ngunit ang pinakabagong attack vector na ito “ay nagpapakita na ang mga pag-atake sa mga repository ay umuunlad,” na pinagsasama ang teknolohiya ng blockchain sa masalimuot na social engineering upang makaiwas sa mga tradisyunal na pamamaraan ng pagtuklas, tinapos ni Valentić. Ang mga pag-atakeng ito ay hindi lamang isinasagawa sa Ethereum. Noong Abril, isang pekeng GitHub repository na nagpapanggap bilang isang Solana trading bot ang ginamit upang ipamahagi ang nakatagong malware na nagnakaw ng mga kredensyal ng crypto wallet. Tinarget din ng mga hacker ang “Bitcoinlib,” isang open-source Python library na dinisenyo upang gawing mas madali ang pag-unlad ng Bitcoin.
