Gli hacker crypto ora utilizzano smart contract Ethereum per mascherare i payload dei malware

Ethereum è diventato il nuovo fronte per gli attacchi alla supply chain del software.

I ricercatori di ReversingLabs hanno scoperto all'inizio di questa settimana due pacchetti NPM dannosi che utilizzavano smart contract di Ethereum per nascondere codice malevolo, consentendo al malware di eludere i controlli di sicurezza tradizionali.

NPM è un gestore di pacchetti per l'ambiente di esecuzione Node.js ed è considerato il più grande registro di software al mondo, dove gli sviluppatori possono accedere e condividere codice che contribuisce a milioni di programmi software.

I pacchetti, “colortoolsv2” e “mimelib2”, sono stati caricati nel repository Node Package Manager, ampiamente utilizzato, a luglio. A prima vista sembravano semplici utility, ma in realtà sfruttavano la blockchain di Ethereum per recuperare URL nascosti che indirizzavano i sistemi compromessi a scaricare malware di seconda fase.

Incorporando questi comandi all'interno di uno smart contract, gli aggressori hanno mascherato la loro attività come traffico legittimo della blockchain, rendendo la rilevazione più difficile.

“Questa è una cosa che non avevamo mai visto prima,” ha dichiarato la ricercatrice di ReversingLabs Lucija Valentić nel loro rapporto. “Evidenzia la rapida evoluzione delle strategie di evasione della rilevazione da parte di attori malevoli che prendono di mira repository open source e sviluppatori.”

La tecnica si basa su uno schema già noto. In passato, gli attacchi hanno utilizzato servizi affidabili come GitHub Gists, Google Drive o OneDrive per ospitare link malevoli. Sfruttando invece gli smart contract di Ethereum, gli aggressori hanno aggiunto una variante legata al mondo crypto a una tattica di supply chain già pericolosa.

L'incidente fa parte di una campagna più ampia. ReversingLabs ha scoperto che i pacchetti erano collegati a falsi repository GitHub che si spacciavano per cryptocurrency trading bot. Questi repository erano riempiti con commit fittizi, account utente falsi e conteggi di stelle gonfiati per sembrare legittimi.

Gli sviluppatori che scaricavano il codice rischiavano di importare malware senza rendersene conto.

I rischi della supply chain negli strumenti open source crypto non sono una novità. Lo scorso anno, i ricercatori hanno segnalato più di 20 campagne malevole che prendevano di mira gli sviluppatori tramite repository come npm e PyPI.

Molte erano mirate a rubare credenziali di wallet o installare crypto miner. Ma l'uso degli smart contract di Ethereum come meccanismo di distribuzione dimostra che gli avversari si stanno adattando rapidamente per mimetizzarsi negli ecosistemi blockchain.

Una lezione per gli sviluppatori è che commit popolari o maintainer attivi possono essere falsificati, e anche pacchetti apparentemente innocui possono contenere payload nascosti.