Uudet uhkat Ethereum-älysopimuksissa
Uhkaajat ovat kehittäneet uuden tavan toimittaa haitallista ohjelmistoa, komentoja ja linkkejä Ethereum-älysopimusten sisällä kiertääkseen turvallisuusskannauksia. Kyberturvallisuustutkijat digitaalisen omaisuuden vaatimustenmukaisuusyrityksestä ReversingLabs ovat löytäneet uusia avoimen lähdekoodin haittaohjelmia Node Package Manager (NPM) -pakettivarastosta, joka on suuri kokoelma JavaScript-paketteja ja -kirjastoja.
”Haittaohjelmapaketit käyttävät uutta ja luovaa tekniikkaa haittaohjelmien lataamiseen vaarantuneille laitteille – älysopimuksia Ethereum-lohkoketjussa,” kertoi ReversingLabsin tutkija Lucija Valentić blogikirjoituksessa keskiviikkona.
Kaksi pakettia, ”colortoolsv2” ja ”mimelib2,” julkaistiin heinäkuussa ja hyödyntivät älysopimuksia piilottaakseen haitallisia komentoja, jotka asensivat lataushaittaohjelmia vaarantuneille järjestelmille, Valentić selitti. Välttääkseen turvallisuusskannauksia paketit toimivat yksinkertaisina lataajina, ja sen sijaan, että ne isännöisivät suoraan haitallisia linkkejä, ne noutivat komento- ja ohjauspalvelimen osoitteita älysopimuksista. Asennettaessa paketit kysyivät lohkoketjulta URL-osoitteita toisen vaiheen haittaohjelmien lataamista varten, mikä tekee havaitsemisesta vaikeampaa, koska lohkoketjuliikenne näyttää lailliselta.
Uusi hyökkäysvektori
Haittaohjelmat, jotka kohdistuvat Ethereum-älysopimuksiin, eivät ole uusia; niitä käytti aiemmin tänä vuonna Pohjois-Koreaan liittyvä hakkeriryhmä Lazarus Group. ”Uutta ja erilaista on Ethereum-älysopimusten käyttö URL-osoitteiden isännöimiseen, joissa haitalliset komennot sijaitsevat, ladaten toisen vaiheen haittaohjelmia,” sanoi Valentić, joka lisäsi: ”Se on jotain, mitä emme ole aiemmin nähneet, ja se korostaa haitallisten toimijoiden nopeaa kehitystä havaitsemisen kiertostrategioissa, jotka kalastelevat avoimen lähdekoodin varastoissa ja kehittäjissä.”
Monimutkainen kryptohuijauskampanja
Haittaohjelmapaketit olivat osa laajempaa, monimutkaista sosiaalisen manipuloinnin ja huijauskampanjaa, joka toimi pääasiassa GitHubissa. Uhkaajat loivat vääriä kryptovaluuttakauppabotin varastoja, jotka näyttivät erittäin luotettavilta väärien sitoumusten, väärennettyjen käyttäjätilien, jotka oli luotu erityisesti seuraamaan varastoja, useiden ylläpitäjätilien simuloimaan aktiivista kehitystä, sekä ammattimaisilta näyttävien projektikuvastojen ja dokumentaation avulla.
Uhkaajien kehitys
Vuonna 2024 turvallisuustutkijat dokumentoivat 23 kryptovaluuttaan liittyvää haitallista kampanjaa avoimen lähdekoodin varastoissa, mutta tämä viimeisin hyökkäysvektori ”osoittaa, että hyökkäykset varastoihin kehittyvät,” yhdistäen lohkoketjuteknologian monimutkaiseen sosiaaliseen manipulointiin perinteisten havaitsemismenetelmien kiertämiseksi, Valentić päätti. Nämä hyökkäykset eivät rajoitu vain Ethereum-verkkoon. Huhtikuussa väärennetty GitHub-varasto, joka esiintyi Solana-kauppabotina, käytettiin jakamaan piilotettua haittaohjelmaa, joka varasti kryptolompakon tunnistetietoja. Hakkerit ovat myös kohdistaneet ”Bitcoinlib”-nimiseen avoimen lähdekoodin Python-kirjastoon, joka on suunniteltu helpottamaan Bitcoin-kehitystä.
