Útočníci využívají Ethereum k šíření malwaru a skrytým útokům

Bezpečnostní experti ze společnosti ReversingLabs odhalili dvě škodlivé knihovny v repozitáři NPM, které využívaly chytré kontrakty na síti Ethereum k ukrytí nebezpečných URL adres a obcházení bezpečnostních skenerů. Jde o další důkaz toho, že útočníci stále častěji zneužívají open-source kód a decentralizované technologie k šíření malwaru novými a obtížně odhalitelnými způsoby.

Podle výzkumného týmu zaměřeného na digitální bezpečnost a regulaci v oblasti kryptoměn se tyto balíčky nacházely v systému Node Package Manager, rozsáhlé knihovně nástrojů v jazyce JavaScript, kterou využívají vývojáři po celém světě.

Konkrétně šlo o knihovny s názvy colortoolsv2 a mimelib2, které se na NPM objevily v červenci. Podle Valentićové tyto balíčky zneužívaly chytré kontrakty k maskování škodlivých příkazů, které následně instalovaly downloader malware do kompromitovaných zařízení.

Aby se vyhnuly detekci, fungovaly tyto balíčky jako jednoduché downloadery. Namísto přímého odkazu na škodlivé servery načítaly adresy řídicích serverů právě ze smart kontraktů. Po instalaci se napadený systém připojil k blockchainu a stáhl z něj URL adresu, ze které byl následně stažen druhý stupeň útoku a samotný škodlivý kód vykonávající zamýšlenou akci.

Tento přístup výrazně komplikuje detekci, protože komunikace s blockchainem působí legitimně. Celý případ tak ukazuje, jak sofistikovaným způsobem může být zneužita open-source infrastruktura i decentralizované sítě.

Nový způsob útoku může ohrozit miliony zařízení i uživatelů

Malware zaměřený na chytré kontrakty Etherea není žádnou novinkou. Už na začátku letošního roku ho využívala nechvalně známá severokorejská hackerská skupina Lazarus.

Novým prvkem je však podle analytičky Lucije Valentić způsob, jakým byly tyto smart kontrakty zneužity. Konkrétně slouží k ukrývání URL adres obsahujících škodlivé příkazy a ke stahování druhé fáze útoku.

Jak fungovala sofistikovaná dezinformační kampaň v kryptosvětě

Škodlivé balíčky byly součástí širší, promyšlené kampaně sociálního inženýrství a klamání, která se odehrávala především prostřednictvím platformy GitHub.

Útočníci vytvářeli falešné repozitáře s údajným softwarem pro kryptoměnové obchodní boty, které na první pohled působily velmi důvěryhodně. Využívali smyšlené commity, falešné uživatelské účty vytvořené výhradně za účelem sledování těchto projektů, a také více správcovských profilů, které měly vzbuzovat dojem aktivního vývoje.

Nechyběly ani profesionálně zpracované popisy projektů a propracovaná dokumentace, která měla podvodné balíčky dále legitimizovat.

Kybernetické hrozby se vyvíjejí, útočníci jsou chytřejší než kdy dřív

V roce 2024 bezpečnostní výzkumníci zdokumentovali celkem 23 škodlivých kampaní zaměřených na kryptoměny v open-source repozitářích. Podle analytičky Lucije Valentićové však nejnovější útok ukazuje, že se metody útočníků nadále vyvíjejí a kombinují blockchain s propracovaným sociálním inženýrstvím, aby obešly tradiční způsoby detekce.

Útoky se přitom neomezují pouze na síť Etherea. V dubnu byl například zneužit falešný repozitář na platformě GitHub, který se vydával za obchodního bota pro síť Solana. Jeho prostřednictvím se šířil zakódovaný malware, jehož cílem bylo odcizit přihlašovací údaje z kryptoměnových peněženek.

Terčem se stala také knihovna Bitcoinlib, což je open-source nástroj v jazyce Python, navržený pro snadnější vývoj aplikací pracujících s bitcoinem.