Gumagamit na ngayon ang mga crypto hacker ng Ethereum smart contracts upang itago ang malware payloads

Ang Ethereum ay naging pinakabagong larangan para sa mga pag-atake sa software supply chain.

Nadiskubre ng mga mananaliksik mula sa ReversingLabs ngayong linggo ang dalawang malisyosong NPM packages na gumamit ng Ethereum smart contracts upang itago ang mapaminsalang code, na nagpapahintulot sa malware na makalusot sa mga tradisyonal na security checks.

Ang NPM ay isang package manager para sa runtime environment na Node.js at itinuturing na pinakamalaking software registry sa mundo, kung saan maaaring mag-access at magbahagi ng code ang mga developer na tumutulong sa milyun-milyong software programs.

Ang mga packages na “colortoolsv2” at “mimelib2,” ay na-upload sa malawakang ginagamit na Node Package Manager repository noong Hulyo. Sa unang tingin, tila mga simpleng utility lamang ito, ngunit sa aktwal, ginamit nila ang blockchain ng Ethereum upang kunin ang mga nakatagong URL na nagdidirekta sa mga apektadong sistema na mag-download ng second-stage malware.

Sa pamamagitan ng pag-embed ng mga command na ito sa loob ng isang smart contract, naitago ng mga umaatake ang kanilang aktibidad bilang lehitimong blockchain traffic, kaya mas mahirap itong matukoy.

“Ito ay isang bagay na hindi pa namin nakita noon,” ayon sa ulat ng mananaliksik ng ReversingLabs na si Lucija Valentić. “Ipinapakita nito ang mabilis na pag-usbong ng mga estratehiya sa pag-iwas sa detection ng mga malisyosong aktor na nagba-browse sa open source repositories at mga developer.”

Ang teknik na ito ay nakabatay sa isang lumang taktika. Sa mga nakaraang pag-atake, ginamit ang mga pinagkakatiwalaang serbisyo tulad ng GitHub Gists, Google Drive, o OneDrive upang mag-host ng malisyosong mga link. Sa paggamit ng Ethereum smart contracts, nagdagdag ang mga umaatake ng crypto-flavored na twist sa isang dati nang mapanganib na supply chain tactic.

Ang insidenteng ito ay bahagi ng mas malawak na kampanya. Natuklasan ng ReversingLabs ang mga packages na konektado sa mga pekeng GitHub repositories na nagpapanggap bilang cryptocurrency trading bots. Ang mga repo na ito ay pinalamanan ng mga pekeng commit, bogus na user accounts, at pinalaking bilang ng star upang magmukhang lehitimo.

Ang mga developer na nag-download ng code ay nanganganib na mag-import ng malware nang hindi nila namamalayan.

Ang mga panganib sa supply chain sa open-source crypto tooling ay hindi na bago. Noong nakaraang taon, iniulat ng mga mananaliksik ang higit sa 20 malisyosong kampanya na tumatarget sa mga developer sa pamamagitan ng mga repository tulad ng npm at PyPI.

Marami sa mga ito ay naglalayong magnakaw ng wallet credentials o mag-install ng crypto miners. Ngunit ang paggamit ng Ethereum smart contracts bilang delivery mechanism ay nagpapakita na mabilis na umaangkop ang mga kalaban upang mag-blend in sa blockchain ecosystems.

Isang aral para sa mga developer ay ang mga popular na commit o aktibong maintainer ay maaaring peke, at kahit ang mga tila inosenteng packages ay maaaring may dalang nakatagong payloads.