Ny metode for levering av skadelig programvare
Trusselaktører har utviklet en ny metode for å levere skadelig programvare, kommandoer og lenker inne i smarte kontrakter på Ethereum for å unngå sikkerhetsskanninger. Cybersikkerhetsforskere ved det digitale eiendelskompensasjonsfirmaet ReversingLabs har oppdaget nye stykker av åpen kildekode skadelig programvare på Node Package Manager (NPM) pakke-repositoriet, som er en stor samling av JavaScript-pakker og biblioteker.
«De skadelige programvarepakkene benytter en ny og kreativ teknikk for å laste inn skadelig programvare på kompromitterte enheter — smarte kontrakter på Ethereum blockchain,» sa ReversingLabs-forsker Lucija Valentić i et blogginnlegg onsdag.
De to pakkene, «colortoolsv2» og «mimelib2», som ble publisert i juli, «misbrukte smarte kontrakter for å skjule skadelige kommandoer som installerte nedlastingsskadelig programvare på kompromitterte systemer,» forklarte Valentić. For å unngå sikkerhetsskanninger fungerte pakkene som enkle nedlastere, og i stedet for å være vert for skadelige lenker direkte, hentet de kommando- og kontrollserveradresser fra de smarte kontraktene. Når de var installert, ville pakkene spørre blockchainen for å hente URL-er for nedlasting av annen fase skadelig programvare, som bærer lasten eller handlingen, noe som gjør det vanskeligere å oppdage, ettersom blockchain-trafikken ser legitim ut.
En ny angrepsvektor
Skadelig programvare som retter seg mot smarte kontrakter på Ethereum er ikke nytt; det ble brukt tidligere i år av den nordkoreansk-tilknyttede hackingkollektivet Lazarus Group. «Det som er nytt og annerledes, er bruken av smarte kontrakter på Ethereum for å være vert for URL-ene der skadelige kommandoer er plassert, og laste ned den andre fasen av skadelig programvare,» sa Valentić, som la til: «Dette er noe vi ikke har sett tidligere, og det fremhever den raske utviklingen av strategier for å unngå oppdagelse av skadelige aktører som troller åpne kildekode-repositorier og utviklere.»
En omfattende kryptodeksepsjonskampanje
De skadelige programvarepakkene var en del av en større, omfattende sosial ingeniør- og deksepsjonskampanje som primært opererte gjennom GitHub. Trusselaktører opprettet falske kryptovaluta handelsbot-repositorier designet for å se svært pålitelige ut, gjennom fabrikkerte commits, falske brukerkontoer opprettet spesifikt for å overvåke repositorier, flere vedlikeholdskontoer for å simulere aktiv utvikling, samt profesjonelt utseende prosjektbeskrivelser og dokumentasjon.
Trusselaktører utvikler seg
I 2024 dokumenterte sikkerhetsforskere 23 kryptorelaterte skadelige kampanjer på åpne kildekode-repositorier, men denne nyeste angrepsvektoren «viser at angrep på repositorier utvikler seg,» og kombinerer blockchain-teknologi med omfattende sosial ingeniørkunst for å omgå tradisjonelle oppdagelsesmetoder, konkluderte Valentić. Disse angrepene utføres ikke bare på Ethereum. I april ble et falskt GitHub-repositorium som utga seg for å være en Solana handelsbot brukt til å distribuere skjult skadelig programvare som stjal kryptovaluta-lommeboklegitimasjon. Hackere har også målrettet «Bitcoinlib», et åpen kildekode Python-bibliotek designet for å gjøre Bitcoin-utvikling enklere.
