Krypto-Hacker nutzen jetzt Ethereum Smart Contracts, um Malware-Payloads zu verschleiern

Ethereum ist zur neuesten Angriffsfläche für Software-Lieferkettenangriffe geworden.

Forscher von ReversingLabs haben Anfang dieser Woche zwei bösartige NPM-Pakete entdeckt, die Ethereum Smart Contracts nutzten, um schädlichen Code zu verbergen. Dadurch konnte die Malware herkömmliche Sicherheitsprüfungen umgehen.

NPM ist ein Paketmanager für die Laufzeitumgebung Node.js und gilt als das weltweit größte Software-Register, in dem Entwickler auf Code zugreifen und diesen teilen können, der zu Millionen von Softwareprogrammen beiträgt.

Die Pakete „colortoolsv2“ und „mimelib2“ wurden im Juli in das weit verbreitete Node Package Manager Repository hochgeladen. Sie schienen auf den ersten Blick einfache Dienstprogramme zu sein, griffen in der Praxis jedoch auf die Ethereum-Blockchain zu, um versteckte URLs abzurufen, die kompromittierte Systeme dazu veranlassten, eine zweite Malware-Stufe herunterzuladen.

Durch das Einbetten dieser Befehle in einen Smart Contract tarnten die Angreifer ihre Aktivitäten als legitimen Blockchain-Verkehr, was die Erkennung erschwerte.

„Das ist etwas, das wir bisher noch nicht gesehen haben“, sagte ReversingLabs-Forscherin Lucija Valentić in ihrem Bericht. „Es unterstreicht die schnelle Entwicklung von Strategien zur Umgehung der Erkennung durch böswillige Akteure, die Open-Source-Repositories und Entwickler ins Visier nehmen.“

Die Technik baut auf einem alten Vorgehen auf. Frühere Angriffe nutzten vertrauenswürdige Dienste wie GitHub Gists, Google Drive oder OneDrive, um bösartige Links zu hosten. Durch die Nutzung von Ethereum Smart Contracts fügten die Angreifer einer bereits gefährlichen Lieferketten-Taktik eine Krypto-Note hinzu.

Der Vorfall ist Teil einer größeren Kampagne. ReversingLabs entdeckte, dass die Pakete mit gefälschten GitHub-Repositories verbunden waren, die sich als cryptocurrency-trading bots ausgaben. Diese Repositories waren mit erfundenen Commits, gefälschten Benutzerkonten und künstlich erhöhten Stern-Bewertungen versehen, um legitim zu wirken.

Entwickler, die den Code herunterluden, liefen Gefahr, Malware zu importieren, ohne es zu bemerken.

Lieferkettenrisiken bei Open-Source-Krypto-Tools sind nicht neu. Im vergangenen Jahr meldeten Forscher mehr als 20 bösartige Kampagnen, die Entwickler über Repositories wie npm und PyPI ins Visier nahmen.

Viele zielten darauf ab, Wallet-Zugangsdaten zu stehlen oder Krypto-Miner zu installieren. Doch die Nutzung von Ethereum Smart Contracts als Verteilungsmechanismus zeigt, dass Gegner sich schnell anpassen, um sich in Blockchain-Ökosysteme einzufügen.

Eine Erkenntnis für Entwickler ist, dass beliebte Commits oder aktive Maintainer gefälscht sein können und selbst scheinbar harmlose Pakete versteckte Schadsoftware enthalten können.