Хакеры используют контракты Ethereum для сокрытия вредоносного ПО в npm-пакетах

• Вредоносное ПО использует контракты Ethereum для скрытых команд
• Вредоносные npm-пакеты эксплуатируют open source библиотеки
• Фальшивая кампания включает торговых ботов для криптовалют

Недавний отчет компании по кибербезопасности ReversingLabs показал, что хакеры используют смарт-контракты Ethereum как часть новой техники для сокрытия вредоносного ПО в npm-пакетах. Такой подход был выявлен в двух пакетах, опубликованных в июле, под названиями "colortoolsv2" и "mimelib2", которые извлекали команды управления и контроля непосредственно из on-chain контрактов.

По словам исследователя Lucija Valentic, пакеты выполняли запутанные скрипты, которые обращались к контрактам Ethereum для поиска полезной нагрузки следующей стадии заражения. Этот метод заменяет традиционную практику вставки ссылок непосредственно в код, что затрудняет обнаружение и удаление вредоносного ПО для сопровождающих библиотек. «Такого мы еще не видели», — отметила Valentic, подчеркивая сложность техники и скорость, с которой злоумышленники адаптируют свои стратегии.

Помимо использования смарт-контрактов, злоумышленники создавали фальшивые репозитории на GitHub с криптовалютной тематикой, например, торговых ботов, которые демонстрировали искусственно завышенную активность. Фальшивые звезды, автоматические коммиты и вымышленные профили мейнтейнеров использовались для того, чтобы обмануть разработчиков и заставить их доверять пакетам и включать их в свои проекты.

Хотя выявленные пакеты уже были удалены после публикации отчета, ReversingLabs предупредила, что этот инцидент является частью более широкой кампании, нацеленной на компрометацию экосистем npm и GitHub. Среди фальшивых репозиториев был "solana-trading-bot-v2", в котором было тысячи поверхностных коммитов для повышения доверия при одновременной вставке вредоносных зависимостей.

Valentic объяснила, что расследование выявило доказательства более широкой, скоординированной попытки внедрения вредоносного кода в библиотеки, широко используемые разработчиками. «Эти недавние атаки со стороны злоумышленников, включая создание сложных атак с использованием blockchain и GitHub, показывают, что атаки на репозитории эволюционируют», — подчеркнула она.

Компания также ранее выявляла кампании, которые злоупотребляли доверием разработчиков к open-source пакетам. Однако эта последняя кампания демонстрирует, как технологии blockchain творчески интегрируются в схемы распространения вредоносного ПО, увеличивая сложность обеспечения безопасности в экосистеме разработки приложений и проектов, связанных с криптовалютами.