Хакери використовують контракти Ethereum для приховування шкідливого ПЗ у npm-пакетах

• Шкідливе програмне забезпечення використовує контракти Ethereum для прихованих команд
• Зловмисні пакети npm експлуатують бібліотеки з відкритим кодом
• Фейкова кампанія включає торгових ботів для криптовалют

У нещодавньому звіті компанії з кібербезпеки ReversingLabs було виявлено, що хакери використовують смарт-контракти Ethereum як частину нової техніки приховування шкідливого ПЗ у пакетах npm. Цей підхід було ідентифіковано у двох пакетах, опублікованих у липні, під назвами "colortoolsv2" та "mimelib2", які отримували команди управління та контролю безпосередньо з контрактів у ланцюжку.

За словами дослідниці Lucija Valentic, пакети виконували заплутані скрипти, які зверталися до контрактів Ethereum для отримання наступного етапу зараження. Цей метод замінює традиційну практику вставки посилань безпосередньо в код, що ускладнює виявлення та видалення шкідливого ПЗ для супроводжувачів бібліотек. "Ми ніколи раніше не бачили нічого подібного", — зазначила Valentic, підкреслюючи складність цієї техніки та швидкість, з якою зловмисники адаптують свої стратегії.

Окрім використання смарт-контрактів, зловмисники створювали фейкові репозиторії на GitHub із криптовалютною тематикою, наприклад, торгових ботів, які демонстрували штучно завищену активність. Фейкові зірки, автоматизовані коміти та вигадані профілі супроводжувачів використовувалися для того, щоб обдурити розробників і змусити їх довіряти пакетам та включати їх у свої проекти.

Хоча ідентифіковані пакети вже були видалені після звіту, ReversingLabs попередила, що цей інцидент є частиною ширшої кампанії, спрямованої на компрометацію екосистем npm та GitHub. Серед фейкових репозиторіїв був "solana-trading-bot-v2", який містив тисячі поверхневих комітів для підвищення довіри, одночасно впроваджуючи шкідливі залежності.

Valentic пояснила, що розслідування виявило докази ширшої, скоординованої спроби впровадження шкідливого коду в бібліотеки, які широко використовуються розробниками. "Ці нещодавні атаки з боку зловмисників, включаючи створення складних атак із використанням blockchain та GitHub, показують, що атаки на репозиторії еволюціонують", — наголосила вона.

Компанія також раніше ідентифікувала кампанії, які зловживали довірою розробників до пакетів з відкритим кодом. Однак ця остання кампанія демонструє, як технологія blockchain творчо інтегрується у схеми шкідливого ПЗ, підвищуючи складність забезпечення безпеки в екосистемі розробки додатків і проектів, пов’язаних із криптовалютою.