Malware Sử Dụng Hợp Đồng Thông Minh của Ethereum Để Tránh Phát Hiện

Các tác nhân độc hại đã phát triển một phương pháp tinh vi để phân phối phần mềm độc hại thông qua hợp đồng thông minh Ethereum, vượt qua các hệ thống bảo mật truyền thống. Sự tiến hóa trong các cuộc tấn công mạng này đã được các nhà nghiên cứu an ninh mạng của ReversingLabs xác định, những người đã phát hiện phần mềm độc hại mã nguồn mở mới trong kho lưu trữ Node Package Manager (NPM), một bộ sưu tập lớn các gói và thư viện JavaScript.

Nhà nghiên cứu của ReversingLabs, Lucija Valentić, đã nhấn mạnh trong một bài đăng gần đây rằng các gói phần mềm độc hại, được gọi là "colortoolsv2" và "mimelib2", sử dụng hợp đồng thông minh của Ethereum để ẩn các lệnh độc hại. Các gói này, được phát hành vào tháng 7, hoạt động như các trình tải xuống phục hồi địa chỉ của các máy chủ chỉ huy và kiểm soát từ các hợp đồng thông minh, thay vì lưu trữ các liên kết độc hại trực tiếp. Cách tiếp cận này làm phức tạp các nỗ lực phát hiện, vì lưu lượng của blockchain có vẻ hợp pháp, cho phép phần mềm độc hại cài đặt phần mềm tải xuống trên các hệ thống bị xâm phạm.

Kỹ thuật đổi mới để lẩn tránh

Việc sử dụng hợp đồng thông minh của Ethereum để lưu trữ các URL nơi chứa các lệnh độc hại đại diện cho một kỹ thuật mới trong việc triển khai phần mềm độc hại. Valentić đã quan sát rằng phương pháp này đánh dấu một sự thay đổi đáng kể trong các chiến lược né tránh phát hiện, khi các tác nhân độc hại ngày càng khai thác các kho mã nguồn mở và các nhà phát triển. Tactics này đã được Nhóm Lazarus, có liên quan đến Triều Tiên, sử dụng vào đầu năm nay, nhưng cách tiếp cận hiện tại cho thấy sự tiến hóa nhanh chóng trong các vectơ tấn công.

Chiến dịch lừa đảo tinh vi

Các gói phần mềm độc hại là một phần của một chiến dịch lừa đảo rộng lớn hơn hoạt động chủ yếu qua GitHub. Các tác nhân độc hại đã tạo ra các kho lưu trữ giả mạo của bot giao dịch tiền điện tử, trình bày chúng như thể đáng tin cậy thông qua các commit giả mạo, tài khoản người dùng giả, nhiều tài khoản duy trì và mô tả dự án cùng tài liệu có vẻ chuyên nghiệp. Chiến lược kỹ thuật xã hội tinh vi này nhằm né tránh các phương pháp phát hiện truyền thống, kết hợp công nghệ blockchain với các thực hành lừa đảo.

Vào năm 2024, các nhà nghiên cứu an ninh đã ghi lại 23 chiến dịch độc hại liên quan đến tiền điện tử trên các kho mã nguồn mở. Tuy nhiên, vectơ tấn công gần đây này làm nổi bật sự tiến hóa liên tục của các cuộc tấn công vào các kho lưu trữ. Ngoài Ethereum, các chiến thuật tương tự đã được sử dụng trên các nền tảng khác, như một kho GitHub giả mạo làm giả một bot giao dịch của Solana, phân phối phần mềm độc hại để đánh cắp thông tin đăng nhập ví tiền điện tử. Hơn nữa, các hacker đã tấn công "Bitcoinlib", một thư viện Python mã nguồn mở được thiết kế để tạo điều kiện cho việc phát triển Bitcoin, minh họa cho bản chất đa dạng và thích ứng của những mối đe dọa mạng này.

Bảo vệ chống lại các mối đe dọa tiền điện tử

Để bảo vệ tài sản kỹ thuật số của mình trước những loại mối đe dọa này, người dùng cần tránh tải phần mềm từ các nguồn không được xác minh và sử dụng các chương trình diệt virus được cập nhật. Nên thực hiện các biện pháp bảo mật mạnh mẽ, chẳng hạn như xác thực hai yếu tố, và luôn cảnh giác trước các nỗ lực lừa đảo. Để tăng cường bảo mật, hãy xem xét việc sử dụng ví phần cứng, giữ các khóa riêng tư ngoại tuyến và cung cấp một lớp bảo vệ bổ sung chống lại những loại tấn công tinh vi này.

Sự phát triển này trong các kỹ thuật tấn công nhấn mạnh tầm quan trọng của việc duy trì các thực hành an ninh nghiêm ngặt trong hệ sinh thái tiền điện tử, đặc biệt là khi tương tác với các kho mã nguồn mở và tải xuống phần mềm liên quan đến tiền điện tử.