Hackare hittar nytt sätt att dölja skadlig programvara i Ethereum-smarta kontrakt

Ny metod för att leverera skadlig programvara

Hotaktörer har funnit ett nytt sätt att leverera skadlig programvara, kommandon och länkar inuti Ethereum-smarta kontrakt för att undvika säkerhetsskanningar när attacker med kodförråd utvecklas. Cybersäkerhetsforskare vid det digitala tillgångsöverensstämmelseföretaget ReversingLabs har upptäckt nya bitar av öppen källkodsskadlig programvara på Node Package Manager (NPM) paketförrådet, en stor samling av JavaScript-paket och bibliotek.

”De skadliga programvarupaketen använder en ny och kreativ teknik för att ladda skadlig programvara på komprometterade enheter — smarta kontrakt för Ethereum-blockkedjan,” sa ReversingLabs forskare Lucija Valentić i ett blogginlägg på onsdagen.

De två paketen, ”colortoolsv2” och ”mimelib2,” publicerade i juli, ”missbrukade smarta kontrakt för att dölja skadliga kommandon som installerade nedladdningsskadlig programvara på komprometterade system,” förklarade Valentić. För att undvika säkerhetsskanningar fungerade paketen som enkla nedladdare och istället för att direkt vara värdar för skadliga länkar, hämtade de kommandon och kontrollserveradresser från de smarta kontrakten. När de installerades skulle paketen fråga blockkedjan för att hämta URL:er för nedladdning av andra etappens skadlig programvara, som bär payload eller åtgärd, vilket gör det svårare att upptäcka eftersom blockkedjetrafik verkar legitim.

En ny attackvektor

Skadlig programvara som riktar sig mot Ethereum-smarta kontrakt är inte ny; den användes tidigare i år av den nordkoreanska hackargruppen Lazarus Group. ”Det som är nytt och annorlunda är användningen av Ethereum-smarta kontrakt för att vara värdar för URL:er där skadliga kommandon finns, som laddar ner den andra etappens skadliga programvara,” sa Valentić, som tillade: ”Det är något vi inte har sett tidigare, och det belyser den snabba utvecklingen av strategier för att undvika upptäckter av skadliga aktörer som trollar öppna källkodsrepositoryn och utvecklare.”

En invecklad kryptodeceptionkampanj

De skadliga programvarupaketen var en del av en större, invecklad social ingenjörskonst och deceptionkampanj som främst verkade genom GitHub. Hotaktörer skapade falska kryptovaluta handelsbotrepositoryn som var utformade för att se mycket pålitliga ut genom fabricerade commits, falska användarkonton skapade specifikt för att övervaka repositoryn, flera underhållarkonton för att simulera aktiv utveckling, och professionellt utformade projektbeskrivningar och dokumentation.

Hotaktörer utvecklas

År 2024 dokumenterade säkerhetsforskare 23 kryptorelaterade skadliga kampanjer på öppna källkodsrepositoryn, men denna senaste attackvektor ”visar att attacker på repositoryn utvecklas,” och kombinerar blockkedjeteknik med invecklad social ingenjörskonst för att kringgå traditionella upptäcktsmetoder, avslutade Valentić. Dessa attacker utförs inte bara på Ethereum. I april användes ett falskt GitHub-repository som utgav sig för att vara en Solana handelsbot för att distribuera dölja skadlig programvara som stjäl kryptovaluta plånboksuppgifter. Hackare har också riktat sig mot ”Bitcoinlib,” ett öppet källkods Python-bibliotek som är utformat för att göra Bitcoin-utveckling enklare.

Relaterade inlägg

Senaste från Blog

Ripple Expanderar Dollar-Backad Stablecoin RLUSD till Afrika

Ripple Expands RLUSD to Africa Ripple har utökat räckvidden för sin US dollar-backade stablecoin, Ripple USD (RLUSD), till Afrika och ingått nya partnerskap med fintech-plattformarna Chipper Cash, VALR och Yellow Card. Denna

Stark vecka för tokeniserade verkliga tillgångar när Fed förbereder diskussioner om DeFi och betalningar

Federal Reserves Konferens om Betalningsinnovation Den amerikanska centralbanken Federal Reserve har meddelat att den snart kommer att hålla en konferens om betalningsinnovation och tokenisering, vilket markerar en betydelsefull vecka för tokenisering av

Kaliforniens 500 miljarder dollar pensionsfond splittrad över Bitcoin-exponering

Kaliforniens Pensionsfonds Diskussion om Kryptovaluta Kaliforniens statliga pensionsfond CalPERS har registrerat blandade reaktioner från styrelsekandidater angående investeringar i kryptovaluta under onsdagens forum. Detta sker trots att fonden innehar aktier i Bitcoin-treasury-företaget Strategy,

Uniswap-gemenskapen tar det första steget mot aktivering av protokollavgifter genom en temperaturkontrollomröstning för att etablera en DUNI juridisk enhet

Uniswap-gemenskapens röstning Enligt Snapshot-governance-sidan har Uniswap-gemenskapen röstat för förslaget ”Etablering av DUNI Juridisk Enhet” i en temperaturkontrollomröstning, som kommer att genomgå en andra omröstning på kedjan. Förslagets innebörd Förslaget innebär att Uniswap

XRP-armén gjorde skillnad i Ripples SEC-rättegång: Kryptolag

XRP:s Rättsliga Strid och Betydelse för Innehavare XRP-tokeninnehavare var en avgörande faktor som hjälpte till att säkra Ripple Labs vinst mot den amerikanska värdepappersregleraren, vilket slutligen avslutades förra månaden när båda sidor

Ethereums nätverksrobusthet trots Paradigms Reth-klientproblem

Ethereum-gemenskapens motståndskraft Medlemmar i Ethereum-gemenskapen berömde nätverkets motståndskraft efter att ett mjukvaruproblem i Paradigms Reth-exekveringsklient inte påverkade de övergripande operationerna. Den 2 september avslöjade Paradigms tekniska chef, Georgios Konstantopoulos, på X att

Federal Reserve sätter fokus på stablecoins den 21 oktober – Affärsmodeller under granskning

Federal Reserves konferens om innovationsbetalningar Den amerikanska centralbanken Federal Reserve kommer att hålla en högprofilerad konferens den 21 oktober för att undersöka framtiden för innovationsbetalningar, där stablecoins kommer att stå i centrum.