Les logiciels malveillants utilisent des contrats intelligents d'Ethereum pour échapper à la détection.

Des acteurs malveillants ont développé une méthode sophistiquée pour distribuer des logiciels malveillants via des smart contracts d'Ethereum, contournant les systèmes de sécurité traditionnels. Cette évolution des cyberattaques a été identifiée par des chercheurs en cybersécurité de ReversingLabs, qui ont découvert un nouveau malware open source dans le dépôt Node Package Manager (NPM), une vaste collection de paquets et de bibliothèques JavaScript.

La chercheuse de ReversingLabs, Lucija Valentić, a souligné dans une publication récente que les paquets malveillants, appelés "colortoolsv2" et "mimelib2", utilisent des contrats intelligents Ethereum pour dissimuler des commandes malveillantes. Ces paquets, publiés en juillet, fonctionnent comme des téléchargeurs qui récupèrent des adresses de serveurs de commande et de contrôle depuis des contrats intelligents, au lieu d'héberger des liens malveillants directement. Cette approche complique les efforts de détection, car le trafic de la blockchain apparaît légitime, permettant au malware d'installer un logiciel de téléchargement sur des systèmes compromis.

Technique innovante d'évasion

L'utilisation des smart contracts Ethereum pour héberger des URL où se trouvent les commandes malveillantes représente une technique novatrice dans la mise en œuvre de malware. Valentić a observé que cette méthode marque un changement significatif dans les stratégies d'évasion de détection, car les acteurs malveillants exploitent de plus en plus les dépôts de code open source et les développeurs. Cette tactique a été précédemment employée par le Groupe Lazarus, lié à la Corée du Nord, au début de cette année, mais l'approche actuelle démontre une évolution rapide des vecteurs d'attaque.

Campagne de tromperie élaborée

Les paquets malveillants font partie d'une campagne de tromperie plus large qui opère principalement via GitHub. Les acteurs malveillants ont créé de faux dépôts de bots de trading de cryptomonnaies, les présentant comme crédibles grâce à des commits fabriqués, des comptes d'utilisateur faux, plusieurs comptes de mainteneurs et des descriptions de projets et de documentation d'apparence professionnelle. Cette stratégie élaborée d'ingénierie sociale vise à contourner les méthodes traditionnelles de détection, combinant la technologie blockchain avec des pratiques trompeuses.

En 2024, des chercheurs en sécurité ont documenté 23 campagnes malveillantes liées aux cryptomonnaies dans des dépôts de code source ouvert. Cependant, ce dernier vecteur d'attaque met en évidence l'évolution continue des attaques sur les dépôts. En plus d'Ethereum, des tactiques similaires ont été employées sur d'autres plateformes, comme un dépôt GitHub falsifié qui se faisait passer pour un bot de trading de Solana, distribuant malware pour voler des identifiants de portefeuilles de cryptomonnaies. De plus, des hackers ont attaqué "Bitcoinlib", une bibliothèque Python open source conçue pour faciliter le développement de Bitcoin, illustrant la nature diverse et adaptative de ces menaces cybernétiques.

Protection contre les menaces cryptographiques

Pour protéger vos actifs numériques contre ce type de menaces, les utilisateurs doivent éviter de télécharger des logiciels provenant de sources non vérifiées et utiliser des programmes antivirus à jour. Il est recommandé de mettre en œuvre des mesures de sécurité robustes, telles que l'authentification à deux facteurs, et de rester vigilant face aux tentatives de phishing. Pour une sécurité accrue, envisagez d'utiliser des portefeuilles matériels, qui gardent les clés privées hors ligne et offrent une couche de protection supplémentaire contre ce type d'attaques sophistiquées.

Cette évolution des techniques d'attaque souligne l'importance de maintenir des pratiques de sécurité rigoureuses dans l'écosystème crypto, en particulier lors de l'interaction avec des dépôts de code source ouvert et du téléchargement de logiciels liés aux cryptomonnaies.