Gli hacker sfruttano i contratti Ethereum per nascondere malware nei pacchetti npm

• Il malware utilizza contratti Ethereum per comandi nascosti
• Pacchetti npm dannosi sfruttano librerie open source
• La campagna falsa include bot di trading di criptovalute

Un report Un recente rapporto della società di sicurezza ReversingLabs ha rivelato che gli hacker stanno utilizzando smart contract Ethereum come parte di una nuova tecnica per nascondere malware nei pacchetti npm. Questo approccio è stato identificato in due pacchetti pubblicati a luglio, chiamati "colortoolsv2" e "mimelib2", che estraevano istruzioni di comando e controllo direttamente dai contratti on-chain.

Secondo la ricercatrice Lucija Valentic, i pacchetti eseguivano script offuscati che interrogavano i contratti Ethereum per individuare il payload della fase successiva dell'infezione. Questo metodo sostituisce la pratica tradizionale di inserire link direttamente nel codice, rendendo più difficile per i manutentori delle librerie rilevare e rimuovere il malware. "È qualcosa che non abbiamo mai visto prima," ha dichiarato Valentic, sottolineando la sofisticazione della tecnica e la rapidità con cui gli attori delle minacce adattano le loro strategie.

Oltre all'uso degli smart contract, gli aggressori hanno creato falsi repository GitHub a tema criptovalute, come bot di trading, che mostravano attività artificialmente gonfiate. Stelle false, commit automatizzati e profili di manutentori fittizi sono stati utilizzati per ingannare gli sviluppatori e convincerli a fidarsi dei pacchetti e includerli nei loro progetti.

Sebbene i pacchetti identificati siano già stati rimossi dopo una segnalazione, ReversingLabs ha avvertito che l'incidente fa parte di una campagna più ampia volta a compromettere gli ecosistemi npm e GitHub. Tra i repository falsi c'era "solana-trading-bot-v2", che presentava migliaia di commit superficiali per guadagnare credibilità mentre inseriva dipendenze dannose.

Valentic ha spiegato che l'indagine ha rivelato prove di uno sforzo più ampio e coordinato volto a infiltrare codice dannoso in librerie ampiamente utilizzate dagli sviluppatori. "Questi recenti attacchi da parte di attori delle minacce, inclusa la creazione di attacchi sofisticati utilizzando blockchain e GitHub, mostrano che gli attacchi ai repository si stanno evolvendo," ha sottolineato.

L'azienda aveva anche identificato campagne precedenti che abusavano della fiducia degli sviluppatori nei pacchetti open source. Tuttavia, questa ultima campagna dimostra come la tecnologia blockchain venga creativamente incorporata negli schemi di malware, aumentando la complessità della sicurezza nell'ecosistema di sviluppo di applicazioni e progetti legati alle criptovalute.