Hackere finner ny måte å skjule skadelig programvare i smarte kontrakter på Ethereum

Ny metode for levering av skadelig programvare

Trusselaktører har utviklet en ny metode for å levere skadelig programvare, kommandoer og lenker inne i smarte kontrakter på Ethereum for å unngå sikkerhetsskanninger. Cybersikkerhetsforskere ved det digitale eiendelskompensasjonsfirmaet ReversingLabs har oppdaget nye stykker av åpen kildekode skadelig programvare på Node Package Manager (NPM) pakke-repositoriet, som er en stor samling av JavaScript-pakker og biblioteker.

«De skadelige programvarepakkene benytter en ny og kreativ teknikk for å laste inn skadelig programvare på kompromitterte enheter — smarte kontrakter på Ethereum blockchain,» sa ReversingLabs-forsker Lucija Valentić i et blogginnlegg onsdag.

De to pakkene, «colortoolsv2» og «mimelib2», som ble publisert i juli, «misbrukte smarte kontrakter for å skjule skadelige kommandoer som installerte nedlastingsskadelig programvare på kompromitterte systemer,» forklarte Valentić. For å unngå sikkerhetsskanninger fungerte pakkene som enkle nedlastere, og i stedet for å være vert for skadelige lenker direkte, hentet de kommando- og kontrollserveradresser fra de smarte kontraktene. Når de var installert, ville pakkene spørre blockchainen for å hente URL-er for nedlasting av annen fase skadelig programvare, som bærer lasten eller handlingen, noe som gjør det vanskeligere å oppdage, ettersom blockchain-trafikken ser legitim ut.

En ny angrepsvektor

Skadelig programvare som retter seg mot smarte kontrakter på Ethereum er ikke nytt; det ble brukt tidligere i år av den nordkoreansk-tilknyttede hackingkollektivet Lazarus Group. «Det som er nytt og annerledes, er bruken av smarte kontrakter på Ethereum for å være vert for URL-ene der skadelige kommandoer er plassert, og laste ned den andre fasen av skadelig programvare,» sa Valentić, som la til: «Dette er noe vi ikke har sett tidligere, og det fremhever den raske utviklingen av strategier for å unngå oppdagelse av skadelige aktører som troller åpne kildekode-repositorier og utviklere.»

En omfattende kryptodeksepsjonskampanje

De skadelige programvarepakkene var en del av en større, omfattende sosial ingeniør- og deksepsjonskampanje som primært opererte gjennom GitHub. Trusselaktører opprettet falske kryptovaluta handelsbot-repositorier designet for å se svært pålitelige ut, gjennom fabrikkerte commits, falske brukerkontoer opprettet spesifikt for å overvåke repositorier, flere vedlikeholdskontoer for å simulere aktiv utvikling, samt profesjonelt utseende prosjektbeskrivelser og dokumentasjon.

Trusselaktører utvikler seg

I 2024 dokumenterte sikkerhetsforskere 23 kryptorelaterte skadelige kampanjer på åpne kildekode-repositorier, men denne nyeste angrepsvektoren «viser at angrep på repositorier utvikler seg,» og kombinerer blockchain-teknologi med omfattende sosial ingeniørkunst for å omgå tradisjonelle oppdagelsesmetoder, konkluderte Valentić. Disse angrepene utføres ikke bare på Ethereum. I april ble et falskt GitHub-repositorium som utga seg for å være en Solana handelsbot brukt til å distribuere skjult skadelig programvare som stjal kryptovaluta-lommeboklegitimasjon. Hackere har også målrettet «Bitcoinlib», et åpen kildekode Python-bibliotek designet for å gjøre Bitcoin-utvikling enklere.

Relaterte innlegg

Siste fra Blog

Ripple Utvider Dollar-Støttet Stablecoin RLUSD til Afrika

Ripple Utvider Stablecoin Til Afrika Ripple har utvidet rekkevidden til sin US dollar-støttede stablecoin, Ripple USD (RLUSD), til Afrika, og dannet nye partnerskap med fintech-plattformene Chipper Cash, VALR og Yellow Card. Dette

Stor uke for tokeniserte RWAs ettersom Fed forbereder seg på DeFi- og betalingstaler

Federal Reserve Konferanse om Betalingsinnovasjon Den amerikanske sentralbanken, Federal Reserve, kunngjorde at den snart vil være vert for en konferanse om betalingsinnovasjon og tokenisering. Dette markerer en betydningsfull uke for tokenisering av

Californias pensjonsfond på 500 milliarder dollar vurderer Bitcoin-eksponering

CalPERS og Kryptoinvesteringer Californias statlige pensjonsfond, CalPERS, registrerte blandede reaksjoner fra styrekandidater angående kryptoinvesteringer under onsdagens forum. Dette til tross for at fondet har aksjer i Bitcoin-treasury-selskapet Strategy, tidligere kjent som MicroStrategy.

Uniswap-samfunnet tar det første steget mot aktivering av protokollavgift gjennom en temperaturkontrollavstemning for å etablere DUNI juridisk enhet

Uniswap Samfunnets Stemme Ifølge Snapshot-governansesiden har Uniswap-samfunnet stemt for forslaget om å etablere en DUNI juridisk enhet gjennom en temperaturkontrollavstemning, som vil bli fulgt av en andre avstemning på kjeden. Forslagets Innhold

XRP Army gjorde en forskjell i Ripples SEC-rettssak: Kryptoadvokat

XRP-tokenholdere og Ripple Labs’ seier XRP-tokenholdere var et avgjørende element som bidro til å sikre Ripple Labs’ seier mot den amerikanske verdipapirregulatoren, en sak som ble avsluttet i forrige måned da begge

Ethereum-nettverkets robusthet skinner til tross for Paradigms Reth-klientproblemer

Ethereum-samfunnets Respons på Reth-feilen Medlemmer av Ethereum-samfunnet roste nettverkets motstandskraft etter at et programvareproblem i Paradigms Reth utførelsesklient ikke påvirket de overordnede operasjonene. Den 2. september avslørte Paradigms teknologidirektør, Georgios Konstantopoulos, på

Fed setter stablecoin-konfrontasjon for 21. oktober – Forretningsmodeller under lupen

Federal Reserve Konferanse om Betalingsinnovasjon Den amerikanske sentralbanken, Federal Reserve, vil være vert for en høyt profilert konferanse den 21. oktober for å undersøke fremtiden for betalingsinnovasjon, med stablecoins i sentrum. Arrangementet,