攻击者已找到新方法,将恶意软件、命令和链接嵌入以太坊(ETH)智能合约,从而躲避安全检测,这反映出针对代码仓库的攻击手段正在不断升级。
数字资产合规公司ReversingLabs的网络安全研究团队在Node Package Manager(npm)软件包仓库——一个大型JavaScript软件包和库的集合中,发现了新型开源恶意软件。
ReversingLabs研究员Lucija Valentić在周三的博客文章中表示,这些恶意软件包采用了一种新颖巧妙的方式,将恶意软件加载到被攻击设备上。具体而言,是通过以太坊(ETH)区块链的智能合约实现的。
Valentić解释称,这两个于7月发布的软件包“colortoolsv2”和“mimelib2”,通过滥用智能合约隐藏恶意命令,从而在受害系统上安装下载器型恶意软件。
为规避安全检测,这些软件包仅作为简单的下载器,并不直接托管恶意链接,而是通过智能合约获取命令与控制(C&C)服务器地址。
安装后,这些软件包会查询区块链,获取用于下载第二阶段恶意软件的URL。第二阶段恶意软件携带实际的恶意负载。由于区块链流量看似正常,这使得检测变得更加困难。
新型攻击途径
针对以太坊(ETH)智能合约的恶意软件并非首次出现。今年早些时候,朝鲜相关的黑客组织Lazarus Group就曾采用过类似手段。
Valentić指出:“新的变化在于利用以太坊(ETH)智能合约托管包含恶意命令的URL,并下载第二阶段恶意软件。”他补充道:
“这是我们以前没有见过的,这突显了恶意行为者快速发展的检测规避策略,他们正在搜寻开源库和开发者。”
精心策划的加密欺诈活动
这些恶意软件包是一个更为庞大且复杂的社会工程欺诈行动的一部分,主要通过GitHub进行。
攻击者建立了伪造的加密货币交易机器人仓库,通过虚假的提交记录、专门创建用于关注仓库的假用户账户,以及多个维护者账户模拟活跃开发。同时,利用专业化的项目描述和文档,营造出高度可信的形象。
攻击者手法持续演化
2024年,安全研究人员已记录了23起与加密货币相关的开源仓库恶意攻击。Valentić总结称,这一最新攻击手法表明,针对代码仓库的攻击正在演变,攻击者将区块链技术与复杂的社会工程手段结合,以绕过传统检测机制。
攻击者的目标并不仅限于以太坊(ETH)。今年4月,一个伪装成Solana(SOL)交易机器人的虚假GitHub仓库曾被用于分发隐蔽恶意软件,窃取加密钱包凭证。黑客还曾针对“Bitcoinlib”发起攻击,该库旨在简化比特币(BTC)的开发。