Согласно последним отчетам, киберпреступники разработали сложную стратегию для распространения вредоносных программ с помощью смарт-контрактов в сети Ethereum, обходя тем самым традиционные системы безопасности. Эта инновационная техника атаки была обнаружена командой исследователей ReversingLabs, которые идентифицировали новые пакеты вредоносных программ с открытым исходным кодом в репозитории Node Package Manager (NPM), обширной библиотеке ресурсов JavaScript.

Луция Валентич, исследователь ReversingLabs, раскрыла в публикации, что вредоносные пакеты, называемые "colortoolsv2" и "mimelib2", используют смарт-контракты на Ethereum для сокрытия вредоносных инструкций. Эти пакеты, выпущенные в июле, действуют как загрузчики, которые получают адреса контрольных серверов из смарт-контрактов, вместо того чтобы содержать вредоносные ссылки напрямую. Эта методология затрудняет обнаружение, поскольку транзакции в блокчейне выглядят легитимными, позволяя вредоносным программам устанавливать дополнительное ПО на пораженные системы.

Использование смарт-контрактов Ethereum для хранения URL-адресов, содержащих вредоносные команды, представляет собой новшество в распространении вредоносных программ. Валентиć отметил, что эта тактика знаменует собой значительное изменение в стратегиях уклонения, демонстрируя, как злоумышленники все больше эксплуатируют репозитории открытого кода и разработчиков. Эта техника, ранее использованная группой Lazarus в начале года, демонстрирует быструю эволюцию методов атаки.

Зловредные пакеты являются частью более широкой кампании обмана, которая в основном ведется через GitHub. Нападающие создали ложные репозитории торговых ботов для криптовалют, придавая им достоверность с помощью поддельных коммитов, вымышленных профилей пользователей, множества учетных записей поддерживающих и описаний проектов, которые выглядят профессионально. Эта сложная стратегия социальной инженерии направлена на то, чтобы избежать традиционных методов обнаружения, сочетая технологии блокчейн с обманными практиками.

В течение 2024 года эксперты по безопасности задокументировали 23 вредоносные кампании, связанные с криптовалютами, в открытых репозиториях кода. Однако этот последний вектор атаки подчеркивает постоянную эволюцию угроз, нацеленных на репозитории. За пределами Ethereum были замечены аналогичные тактики на других платформах, таких как фальшивый репозиторий на GitHub, который выдавал себя за торгового бота Solana и распространял вредоносные программы для кражи учетных данных криптовалютных кошельков. Кроме того, хакеры атаковали "Bitcoinlib", библиотеку Python с открытым исходным кодом, предназначенную для упрощения разработки на Bitcoin, что иллюстрирует разнообразный и адаптируемый характер этих киберугроз.