การค้นพบมัลแวร์ใหม่ในสัญญาอัจฉริยะของ Ethereum
กลุ่มผู้ก่อการร้ายได้ค้นพบวิธีใหม่ในการส่งซอฟต์แวร์ที่เป็นอันตราย คำสั่ง และลิงก์ภายใน สัญญาอัจฉริยะของ Ethereum เพื่อหลบเลี่ยงการสแกนความปลอดภัย ขณะที่การโจมตีโดยใช้ที่เก็บโค้ดพัฒนาขึ้นเรื่อยๆ นักวิจัยด้านความปลอดภัยไซเบอร์จากบริษัท ReversingLabs ซึ่งเชี่ยวชาญด้านการปฏิบัติตามกฎระเบียบของสินทรัพย์ดิจิทัล ได้ค้นพบมัลแวร์โอเพนซอร์สใหม่ที่ถูกค้นพบในที่เก็บแพ็คเกจ Node Package Manager (NPM) ซึ่งเป็นคอลเลกชันขนาดใหญ่ของแพ็คเกจและไลบรารี JavaScript
“แพ็คเกจมัลแวร์ใช้เทคนิคใหม่และสร้างสรรค์ในการโหลดมัลแวร์ลงในอุปกรณ์ที่ถูกบุกรุก — สัญญาอัจฉริยะสำหรับบล็อกเชน Ethereum” – Lucija Valentić, ReversingLabs
แพ็คเกจทั้งสอง “colortoolsv2” และ “mimelib2” ที่เผยแพร่ในเดือนกรกฎาคม “ได้ใช้ประโยชน์จากสัญญาอัจฉริยะเพื่อซ่อนคำสั่งที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ดาวน์โหลดลงในระบบที่ถูกบุกรุก” Valentić อธิบาย
เพื่อหลีกเลี่ยงการสแกนความปลอดภัย แพ็คเกจเหล่านี้ทำหน้าที่เป็นดาวน์โหลดง่ายๆ และแทนที่จะโฮสต์ลิงก์ที่เป็นอันตรายโดยตรง พวกเขาจะดึงที่อยู่เซิร์ฟเวอร์คำสั่งและควบคุมจากสัญญาอัจฉริยะ เมื่อถูกติดตั้ง แพ็คเกจจะสอบถามบล็อกเชนเพื่อดึง URL สำหรับดาวน์โหลดมัลแวร์ระยะที่สอง ซึ่งมีพาหะหรือการกระทำ ทำให้การตรวจจับยากขึ้นเนื่องจากการจราจรในบล็อกเชนดูเหมือนถูกต้องตามกฎหมาย
การพัฒนาอย่างรวดเร็วของกลยุทธ์การโจมตี
มัลแวร์ที่มุ่งเป้าไปที่สัญญาอัจฉริยะของ Ethereum ไม่ใช่เรื่องใหม่; มันถูกใช้ในปีนี้โดยกลุ่มแฮกเกอร์ที่เกี่ยวข้องกับเกาหลีเหนือคือ Lazarus Group
“สิ่งที่ใหม่และแตกต่างคือการใช้สัญญาอัจฉริยะของ Ethereum เพื่อโฮสต์ URL ที่มีคำสั่งที่เป็นอันตราย ดาวน์โหลดมัลแวร์ระยะที่สอง” – Lucija Valentić
Valentić กล่าวเสริมว่า “นั่นคือสิ่งที่เราไม่เคยเห็นมาก่อน และมันเน้นให้เห็นถึงการพัฒนาอย่างรวดเร็วของกลยุทธ์การหลบเลี่ยงการตรวจจับโดยผู้กระทำผิดที่กำลังค้นหาแหล่งที่มาของโอเพนซอร์สและนักพัฒนา”
แพ็คเกจมัลแวร์เป็นส่วนหนึ่งของแคมเปญการหลอกลวงทางสังคมที่ซับซ้อนซึ่งดำเนินการหลักผ่าน GitHub กลุ่มผู้ก่อการร้ายสร้างที่เก็บบอทการซื้อขายคริปโตปลอมที่ออกแบบมาให้ดูน่าเชื่อถือสูงผ่านการคอมมิตที่ปลอมแปลง บัญชีผู้ใช้ปลอมที่สร้างขึ้นโดยเฉพาะเพื่อดูแลที่เก็บ บัญชีผู้ดูแลหลายบัญชีเพื่อจำลองการพัฒนาอย่างกระตือรือร้น และคำอธิบายและเอกสารโครงการที่ดูเป็นมืออาชีพ
แนวโน้มการโจมตีในอนาคต
ในปี 2024 นักวิจัยด้านความปลอดภัยได้บันทึกแคมเปญที่เป็นอันตรายที่เกี่ยวข้องกับคริปโต 23 แคมเปญในที่เก็บโอเพนซอร์ส แต่ช่องทางการโจมตีล่าสุดนี้ “แสดงให้เห็นว่าการโจมตีในที่เก็บกำลังพัฒนา” โดยการรวมเทคโนโลยีบล็อกเชนเข้ากับการหลอกลวงทางสังคมที่ซับซ้อนเพื่อหลีกเลี่ยงวิธีการตรวจจับแบบดั้งเดิม
“การโจมตีเหล่านี้ไม่ได้ถูกดำเนินการเฉพาะใน Ethereum เท่านั้น” – Lucija Valentić
ในเดือนเมษายน ที่เก็บ GitHub ปลอมที่แกล้งทำเป็นบอทการซื้อขาย Solana ถูกใช้เพื่อแจกจ่ายมัลแวร์ที่ถูกปิดบังซึ่งขโมยข้อมูลรับรองกระเป๋าเงินคริปโต แฮกเกอร์ยังได้มุ่งเป้าไปที่ “Bitcoinlib” ซึ่งเป็นไลบรารี Python โอเพนซอร์สที่ออกแบบมาเพื่อทำให้การพัฒนา Bitcoin ง่ายขึ้น.
