Phát hiện phần mềm độc hại mới trên nền tảng Ethereum
Các tác nhân đe dọa đã tìm ra một phương thức mới để phát tán phần mềm độc hại, thông qua việc chèn lệnh và liên kết bên trong các hợp đồng thông minh trên nền tảng Ethereum, nhằm tránh bị phát hiện bởi các công cụ quét bảo mật. Các nhà nghiên cứu an ninh mạng tại công ty ReversingLabs, chuyên về tuân thủ tài sản kỹ thuật số, đã phát hiện ra những mảnh phần mềm độc hại mã nguồn mở mới trên kho gói Node Package Manager (NPM), nơi lưu trữ một lượng lớn các gói và thư viện JavaScript.
Chi tiết về các gói phần mềm độc hại
Hai gói phần mềm độc hại mang tên “colortoolsv2” và “mimelib2” được phát hành vào tháng Bảy, đã lợi dụng các hợp đồng thông minh để che giấu các lệnh độc hại, cài đặt phần mềm độc hại tải xuống trên các hệ thống bị xâm phạm. Theo lời nhà nghiên cứu Lucija Valentić của ReversingLabs trong một bài viết trên blog vào thứ Tư, để tránh bị phát hiện bởi các công cụ quét bảo mật, các gói này hoạt động như những trình tải xuống đơn giản. Thay vì trực tiếp lưu trữ các liên kết độc hại, chúng truy xuất địa chỉ máy chủ điều khiển từ các hợp đồng thông minh. Khi được cài đặt, các gói này sẽ truy vấn blockchain để lấy URL cho việc tải xuống phần mềm độc hại giai đoạn hai, mang theo tải trọng hoặc hành động, làm cho việc phát hiện trở nên khó khăn hơn vì lưu lượng blockchain có vẻ hợp pháp.
Quảng cáo
Bắt đầu hành trình Crypto của bạn với Coinbase! Tham gia cùng hàng triệu người trên toàn thế giới tin tưởng Coinbase để đầu tư, chi tiêu, tiết kiệm và kiếm tiền từ crypto một cách an toàn. Mua Bitcoin, Ethereum và nhiều hơn nữa một cách dễ dàng!
Vector tấn công mới
Phần mềm độc hại nhắm vào các hợp đồng thông minh Ethereum không phải là điều mới; nó đã được sử dụng vào đầu năm nay bởi nhóm tin tặc liên kết với Bắc Triều Tiên, Lazarus Group. “Điều mới và khác biệt là việc sử dụng các hợp đồng thông minh Ethereum để lưu trữ các URL nơi các lệnh độc hại được đặt, tải xuống phần mềm độc hại giai đoạn hai,” Valentić cho biết. Cô cũng nhấn mạnh:
“Đó là điều mà chúng tôi chưa thấy trước đây, và nó làm nổi bật sự tiến hóa nhanh chóng của các chiến lược né tránh phát hiện của các tác nhân độc hại đang lùng sục các kho mã nguồn mở và các nhà phát triển.”
Chiến dịch lừa đảo crypto tinh vi
Các gói phần mềm độc hại này là một phần của một chiến dịch kỹ thuật xã hội và lừa đảo lớn hơn, chủ yếu hoạt động thông qua GitHub. Các tác nhân đe dọa đã tạo ra các kho bot giao dịch cryptocurrency giả mạo, được thiết kế để trông rất đáng tin cậy thông qua các cam kết giả, các tài khoản người dùng giả được tạo ra đặc biệt để theo dõi các kho, nhiều tài khoản bảo trì để mô phỏng sự phát triển tích cực, cùng với các mô tả và tài liệu dự án trông chuyên nghiệp.
Các tác nhân đe dọa đang tiến hóa
Trong năm 2024, các nhà nghiên cứu an ninh đã ghi nhận 23 chiến dịch độc hại liên quan đến crypto trên các kho mã nguồn mở, nhưng vector tấn công mới nhất này “cho thấy rằng các cuộc tấn công vào các kho đang tiến hóa,” kết hợp công nghệ blockchain với kỹ thuật xã hội tinh vi để vượt qua các phương pháp phát hiện truyền thống, Valentić kết luận. Những cuộc tấn công này không chỉ diễn ra trên Ethereum. Vào tháng Tư, một kho GitHub giả mạo đã được sử dụng như một bot giao dịch Solana để phân phối phần mềm độc hại bị che giấu, đánh cắp thông tin xác thực ví crypto. Các tin tặc cũng đã nhắm đến “Bitcoinlib,” một thư viện Python mã nguồn mở được thiết kế để làm cho việc phát triển Bitcoin trở nên dễ dàng hơn.
