Згідно з нещодавніми звітами, кіберзлочинці розробили складну стратегію для поширення шкідливих програм за допомогою смартконтрактів у мережі Ethereum, обходячи таким чином звичайні системи безпеки. Цю інноваційну техніку атаки виявила команда дослідників ReversingLabs, які ідентифікували нові пакети шкідливих програм з відкритим кодом у репозиторії Node Package Manager (NPM), великій бібліотеці ресурсів JavaScript.

Луція Валентіч, дослідниця ReversingLabs, розкрила в публікації, що шкідливі програми, що отримали назву "colortoolsv2" та "mimelib2", використовують смартконтракти в Ethereum для приховування шкідливих інструкцій. Ці пакети, випущені в липні, діють як завантажувачі, які отримують адреси серверів управління з смартконтрактів, замість того, щоб містити шкідливі посилання безпосередньо. Ця методологія ускладнює виявлення, оскільки транзакції в блокчейні виглядають легітимними, що дозволяє шкідливим програмам встановлювати додаткове програмне забезпечення на уражені системи.

Використання смартконтрактів Ethereum для зберігання URL-адрес, що містять шкідливі команди, є інновацією в розподілі шкідливих програм. Валентиć зазначив, що ця тактика позначає значну зміну в стратегіях ухилення, демонструючи, як зловмисники все більше експлуатують репозиторії відкритого коду та розробників. Цю техніку, раніше застосовану Групою Lazarus на початку року, продемонстровано швидку еволюцію в методах атаки.

Шкідливі пакети є частиною більшої кампанії обману, яка в основному працює через GitHub. Зловмисники створили фальшиві репозиторії ботів для торгівлі криптовалютами, наділивши їх достовірністю за допомогою сфабрикованих комітів, вигаданих профілів користувачів, кількох облікових записів підтримувачів та описів проектів, що здаються професійними. Ця ретельно продумана стратегія соціальної інженерії намагається ухилитися від традиційних методів виявлення, поєднуючи технологію блокчейн з оманливими практиками.

Протягом 2024 року експерти з безпеки зафіксували 23 шкідливі кампанії, пов'язані з криптовалютами, у відкритих репозиторіях коду. Однак цей останній вектор атаки підкреслює постійну еволюцію загроз, націлених на репозиторії. Поза Ethereum спостерігалися подібні тактики на інших платформах, таких як фальшивий репозиторій на GitHub, який видавав себе за торгового бота Solana та розповсюджував шкідливі програми для крадіжки облікових даних криптовалютних гаманців. Додатково, хакери атакували "Bitcoinlib", бібліотеку Python з відкритим кодом, розроблену для полегшення розробки в Bitcoin, що ілюструє різноманітний і адаптивний характер цих кіберзагроз.