Ginamit ng mga hacker ang Ethereum contracts upang itago ang malware sa mga npm package

• Gumagamit ang malware ng Ethereum contracts para sa mga nakatagong utos
• Sinasamantala ng mga malisyosong npm packages ang open source libraries
• Kabilang sa pekeng kampanya ang mga cryptocurrency trading bots

Isang ulat Kamakailang ulat mula sa security firm na ReversingLabs ang nagbunyag na ginagamit ng mga hacker ang Ethereum smart contracts bilang bahagi ng bagong teknik upang itago ang malware sa mga npm packages. Natukoy ang pamamaraang ito sa dalawang packages na inilathala noong Hulyo, na tinawag na "colortoolsv2" at "mimelib2," na nag-extract ng command at control instructions direkta mula sa on-chain contracts.

Ayon kay researcher Lucija Valentic, ang mga packet ay nagpapatupad ng mga obfuscated scripts na nagtatanong sa Ethereum contracts upang hanapin ang payload para sa susunod na yugto ng impeksyon. Pinalitan ng pamamaraang ito ang tradisyunal na pagsingit ng mga link direkta sa code, na nagpapahirap sa mga library maintainer na matukoy at alisin ang malware. "Ito ay isang bagay na hindi pa namin nakita noon," sabi ni Valentic, na binigyang-diin ang kasopistikaduhan ng teknik at ang bilis ng pag-aangkop ng mga threat actor sa kanilang mga estratehiya.

Bukod sa paggamit ng smart contracts, lumikha rin ang mga umaatake ng mga pekeng GitHub repositories na may temang cryptocurrency, tulad ng trading bots, na nagpapakita ng artipisyal na pinalaking aktibidad. Gumamit sila ng pekeng stars, automated commits, at mga kathang-isip na maintainer profiles upang linlangin ang mga developer na pagkatiwalaan ang mga packages at isama ito sa kanilang mga proyekto.

Bagaman ang mga natukoy na packages ay naalis na matapos ang isang ulat, nagbabala ang ReversingLabs na bahagi lamang ito ng mas malaking kampanya na naglalayong ma-kompromiso ang npm at GitHub ecosystems. Kabilang sa mga pekeng repository ang "solana-trading-bot-v2," na nagpakita ng libu-libong mababaw na commits upang makakuha ng kredibilidad habang naglalagay ng malisyosong dependencies.

Ipinaliwanag ni Valentic na ang imbestigasyon ay nagbunyag ng ebidensya ng mas malawak at koordinadong pagsisikap na magpasok ng malisyosong code sa mga libraries na malawakang ginagamit ng mga developer. "Ipinapakita ng mga kamakailang pag-atake ng mga threat actor, kabilang ang paglikha ng mga sopistikadong atake gamit ang blockchain at GitHub, na ang mga repository attack ay umuunlad," binigyang-diin niya.

Nakilala rin ng kumpanya ang mga naunang kampanya na umaabuso sa tiwala ng mga developer sa open-source packages. Gayunpaman, ipinapakita ng pinakabagong kampanyang ito kung paano malikhaing isinasama ang blockchain technology sa mga malware scheme, na nagpapataas ng kompleksidad ng seguridad sa ecosystem ng pagbuo ng mga aplikasyon at proyekto na may kaugnayan sa cryptocurrency.