Malware Utiliza Contratos Inteligentes de Ethereum para Evadir Detecção

Ator malicioso desenvolveram um método sofisticado para distribuir software malicioso através de contratos inteligentes de Ethereum, eludindo os sistemas tradicionais de segurança. Esta evolução nos ciberataques foi identificada por investigadores de cibersegurança da ReversingLabs, que descobriram novo malware de código aberto no repositório Node Package Manager (NPM), uma extensa coleção de pacotes e bibliotecas JavaScript.

A investigadora da ReversingLabs, Lucija Valentić, destacou numa publicação recente que os pacotes maliciosos, denominados "colortoolsv2" e "mimelib2", utilizam contratos inteligentes de Ethereum para ocultar comandos maliciosos. Estes pacotes, publicados em julho, funcionam como descarregadores que recuperam endereços de servidores de comando e controlo a partir de contratos inteligentes, em vez de alojar links maliciosos directamente. Esta abordagem complica os esforços de deteção, uma vez que o tráfego da blockchain parece legítimo, permitindo que o malware instale software descarregador em sistemas comprometidos.

Técnica inovadora de evasão

O uso de contratos inteligentes de Ethereum para alojar URLs onde se encontram os comandos maliciosos representa uma técnica nova na implementação de malware. Valentić observou que este método marca uma mudança significativa nas estratégias de evasão de deteção, uma vez que os atores maliciosos exploram cada vez mais repositórios de código aberto e desenvolvedores. Esta tática foi previamente empregue pelo Grupo Lazarus, vinculado à Coreia do Norte, no início deste ano, mas a abordagem atual demonstra uma rápida evolução nos vetores de ataque.

Campanha de engano elaborada

Os pacotes maliciosos fazem parte de uma campanha de engano mais ampla que opera principalmente através do GitHub. Os atores maliciosos criaram repositórios falsos de bots de trading de criptomoedas, apresentando-os como credíveis através de commits fabricados, contas de usuário falsas, múltiplas contas de mantenedores e descrições de projetos e documentação de aparência profissional. Esta elaborada estratégia de engenharia social visa eludir os métodos tradicionais de deteção, combinando tecnologia blockchain com práticas enganosas.

Em 2024, investigadores de segurança documentaram 23 campanhas maliciosas relacionadas com criptomoedas em repositórios de código aberto. No entanto, este último vetor de ataque destaca a evolução contínua dos ataques a repositórios. Além de Ethereum, táticas semelhantes foram empregues em outras plataformas, como um repositório GitHub falso que se fazia passar por um bot de trading de Solana, distribuindo malware para roubar credenciais de carteiras de criptomoedas. Além disso, hackers atacaram "Bitcoinlib", uma biblioteca Python de código aberto projetada para facilitar o desenvolvimento de Bitcoin, ilustrando a natureza diversa e adaptativa destas ameaças cibernéticas.

Proteção contra ameaças criptográficas

Para proteger os seus ativos digitais face a este tipo de ameaças, os utilizadores devem evitar descarregar software de fontes não verificadas e utilizar programas antivírus atualizados. É recomendável implementar medidas de segurança robustas, como a autenticação em dois fatores, e manter-se alerta a tentativas de phishing. Para uma maior segurança, considere o uso de carteiras hardware, que mantêm as chaves privadas fora de linha e oferecem uma camada adicional de proteção contra este tipo de ataques sofisticados.

Esta evolução nas técnicas de ataque sublinha a importância de manter práticas de segurança rigorosas no ecossistema cripto, especialmente ao interagir com repositórios de código aberto e baixar software relacionado com criptomoedas.