Los hackers de criptomonedas ahora están utilizando contratos inteligentes de Ethereum para ocultar cargas útiles de malware

Ethereum se ha convertido en el último frente de los ataques a la cadena de suministro de software.

Investigadores de ReversingLabs descubrieron a principios de esta semana dos paquetes maliciosos de NPM que utilizaban contratos inteligentes de Ethereum para ocultar código dañino, permitiendo que el malware eludiera los controles de seguridad tradicionales.

NPM es un gestor de paquetes para el entorno de ejecución Node.js y se considera el registro de software más grande del mundo, donde los desarrolladores pueden acceder y compartir código que contribuye a millones de programas de software.

Los paquetes, “colortoolsv2” y “mimelib2”, fueron subidos al ampliamente utilizado repositorio Node Package Manager en julio. A primera vista, parecían ser utilidades simples, pero en la práctica, aprovechaban la blockchain de Ethereum para obtener URLs ocultas que dirigían a los sistemas comprometidos a descargar malware en una segunda etapa.

Al incrustar estos comandos dentro de un contrato inteligente, los atacantes disfrazaban su actividad como tráfico legítimo de blockchain, dificultando su detección.

“Esto es algo que no habíamos visto previamente”, dijo la investigadora de ReversingLabs, Lucija Valentić, en su informe. “Destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que están acechando repositorios de código abierto y desarrolladores.”

La técnica se basa en un viejo manual. Ataques anteriores han utilizado servicios confiables como GitHub Gists, Google Drive o OneDrive para alojar enlaces maliciosos. Al aprovechar contratos inteligentes de Ethereum en su lugar, los atacantes agregaron un giro relacionado con las criptomonedas a una táctica de cadena de suministro ya peligrosa.

El incidente forma parte de una campaña más amplia. ReversingLabs descubrió que los paquetes estaban vinculados a repositorios falsos de GitHub que se hacían pasar por cryptocurrency trading bots. Estos repos estaban inflados con commits fabricados, cuentas de usuario falsas y conteos de estrellas exagerados para parecer legítimos.

Los desarrolladores que descargaban el código corrían el riesgo de importar malware sin darse cuenta.

Los riesgos en la cadena de suministro de herramientas cripto de código abierto no son nuevos. El año pasado, los investigadores señalaron más de 20 campañas maliciosas dirigidas a desarrolladores a través de repositorios como npm y PyPI.

Muchas estaban orientadas a robar credenciales de billeteras o instalar mineros de criptomonedas. Pero el uso de contratos inteligentes de Ethereum como mecanismo de entrega demuestra que los adversarios se están adaptando rápidamente para integrarse en los ecosistemas blockchain.

Una lección para los desarrolladores es que los commits populares o los mantenedores activos pueden ser falsificados, y que incluso los paquetes aparentemente inofensivos pueden contener cargas ocultas.