Эксперты по кибербезопасности из ReversingLabs, специализирующейся на цифровой комплаенс-оценке, обнаружили новое вредоносное программное обеспечение (ПО) с открытым исходным кодом в репозитории Node Package Manager (NPM). Это крупнейшая библиотека JavaScript-пакетов и инструментов.
«Они используют оригинальную и креативную технику загрузки вредоносного кода на зараженные устройства через смарт-контракты Ethereum», — написала аналитик ReversingLabs Лусия Валентич.
Речь идет о двух пакетах — colortoolsv2 и mimelib2, опубликованных в июле. По словам Валентич, они использовали смарт-контракты для маскировки вредоносных команд, которые затем устанавливали загрузчик на зараженные системы.
Чтобы не попасть под проверку систем безопасности, пакеты вели себя как обычные загрузчики. Они не содержали вредоносных ссылок напрямую, а извлекали адреса управляющих серверов из смарт-контрактов.
При установке пакеты запрашивали блокчейн и получали из него URL для загрузки второго этапа вредоносного ПО с полезной нагрузкой или вредоносным действием. По словам аналитиков, такой подход усложняет обнаружение, так как трафик блокчейна выглядит легитимным.
Новый вектор атак
Вредоносное ПО, нацеленное на смарт-контракты Ethereum, не ново. В начале года его использовала северокорейская хакерская группировка Лазарь.
«Новым и необычным является использование смарт-контрактов Ethereum для размещения URL-адресов, по которым находятся вредоносные команды и загружается вторая стадия вредоносного ПО. Такого мы еще не видели», — уточнила Валентич.
По ее словам, это подчеркивает, как быстро развиваются методы обхода защиты у тех, кто сканирует открытые репозитории и охотится на разработчиков.
По теме: северокорейские хакеры создали три подставные фирмы для атак на крипторазработчиков
Таргетированный обман
Обнаруженные пакеты были частью масштабной кампании социальной инженерии, развернутой в основном через GitHub.
Атакующие создавали фейковые репозитории под видом трейдинг-ботов. Они делали их максимально убедительными: подставные коммиты, фальшивые аккаунты, подписанные на репозитории, множество аккаунтов с правами мейнтейнера для видимости активной разработки, а также профессиональные описания и документация.
По теме: хакеры украли $2,47 млрд на слабостях в поведении инвесторов — CertiK
В 2024 году эксперты по безопасности зафиксировали 23 вредоносные кампании, связанные с криптовалютами, на платформах с «открытым кодом». Последний вектор атаки демонстрирует, что методы атак на репозитории эволюционируют.
Валентич отметила, что теперь они совмещают блокчейн-технологии с социальной инженерией, чтобы обходить традиционные методы обнаружения.
Атаки происходят не только в сети Ethereum. В апреле хакеры использовали фейковый GitHub-репозиторий под видом бота для торговли на Solana и распространяли через него замаскированное вредоносное ПО для кражи данных с криптокошельков.
В этом же месяце хакеры атаковали BitcoinLib — библиотеку на Python, предназначенную для разработки решений на базе биткоина.
По теме: хакеры вывели $13,5 млн с кошелька пользователя Venus Protocol