Malware Utiliza Contratos Inteligentes de Ethereum para Evadir Detección

Actores maliciosos han desarrollado un método sofisticado para distribuir software malicioso a través de contratos inteligentes de Ethereum, eludiendo los sistemas tradicionales de seguridad. Esta evolución en los ciberataques fue identificada por investigadores de ciberseguridad de ReversingLabs, quienes descubrieron nuevo malware de código abierto en el repositorio Node Package Manager (NPM), una extensa colección de paquetes y bibliotecas JavaScript.

La investigadora de ReversingLabs, Lucija Valentić, destacó en una publicación reciente que los paquetes maliciosos, denominados "colortoolsv2" y "mimelib2", utilizan contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estos paquetes, publicados en julio, funcionan como descargadores que recuperan direcciones de servidores de comando y control desde contratos inteligentes, en lugar de alojar enlaces maliciosos directamente. Este enfoque complica los esfuerzos de detección, ya que el tráfico de la blockchain aparece legítimo, permitiendo que el malware instale software descargador en sistemas comprometidos.

Técnica innovadora de evasión

El uso de contratos inteligentes de Ethereum para alojar URLs donde se encuentran los comandos maliciosos representa una técnica novedosa en la implementación de malware. Valentić observó que este método marca un cambio significativo en las estrategias de evasión de detección, ya que los actores maliciosos explotan cada vez más repositorios de código abierto y desarrolladores. Esta táctica fue previamente empleada por el Grupo Lazarus, vinculado a Corea del Norte, a principios de este año, pero el enfoque actual demuestra una rápida evolución en los vectores de ataque.

Campaña de engaño elaborada

Los paquetes maliciosos forman parte de una campaña de engaño más amplia que opera principalmente a través de GitHub. Los actores maliciosos han creado repositorios falsos de bots de trading de criptomonedas, presentándolos como creíbles mediante commits fabricados, cuentas de usuario falsas, múltiples cuentas de mantenedores y descripciones de proyectos y documentación de apariencia profesional. Esta elaborada estrategia de ingeniería social busca eludir los métodos tradicionales de detección, combinando tecnología blockchain con prácticas engañosas.

En 2024, investigadores de seguridad han documentado 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto. Sin embargo, este último vector de ataque destaca la evolución continua de los ataques a repositorios. Además de Ethereum, tácticas similares se han empleado en otras plataformas, como un repositorio GitHub falso que se hacía pasar por un bot de trading de Solana, distribuyendo malware para robar credenciales de billeteras de criptomonedas. Asimismo, hackers han atacado "Bitcoinlib", una biblioteca Python de código abierto diseñada para facilitar el desarrollo de Bitcoin, ilustrando la naturaleza diversa y adaptativa de estas amenazas cibernéticas.

Protección contra amenazas criptográficas

Para proteger sus activos digitales frente a este tipo de amenazas, los usuarios deben evitar descargar software de fuentes no verificadas y utilizar programas antivirus actualizados. Es recomendable implementar medidas de seguridad robustas, como la autenticación en dos factores, y mantenerse alerta ante intentos de phishing. Para una mayor seguridad, considere el uso de billeteras hardware, que mantienen las claves privadas fuera de línea y ofrecen una capa adicional de protección contra este tipo de ataques sofisticados.

Esta evolución en las técnicas de ataque subraya la importancia de mantener prácticas de seguridad rigurosas en el ecosistema cripto, especialmente al interactuar con repositorios de código abierto y descargar software relacionado con criptomonedas.