攻擊者已找到新方法,將惡意軟體、命令和鏈接嵌入以太坊(ETH)智能合約,從而躲避安全檢測,這反映出針對代碼倉庫的攻擊手段正在不斷升級。
數字資產合規公司ReversingLabs的網路安全研究團隊在Node Package Manager(npm)軟體包倉庫——一個大型JavaScript軟體包和庫的集合中,發現了新型開源惡意軟體。
ReversingLabs研究員Lucija Valentić在週三的部落格文章中表示,這些惡意軟體包採用了一種新穎巧妙的方式,將惡意軟體加載到被攻擊設備上。具體而言,是通過以太坊(ETH)區塊鏈的智能合約實現的。
Valentić解釋稱,這兩個於7月發布的軟體包“colortoolsv2”和“mimelib2”,通過濫用智能合約隱藏惡意命令,從而在受害系統上安裝下載器型惡意軟體。
為規避安全檢測,這些軟體包僅作為簡單的下載器,並不直接託管惡意鏈接,而是通過智能合約獲取命令與控制(C&C)伺服器地址。
安裝後,這些軟體包會查詢區塊鏈,獲取用於下載第二階段惡意軟體的URL。第二階段惡意軟體攜帶實際的惡意負載。由於區塊鏈流量看似正常,這使得檢測變得更加困難。
新型攻擊途徑
針對以太坊(ETH)智能合約的惡意軟體並非首次出現。今年早些時候,朝鮮相關的駭客組織Lazarus Group就曾採用過類似手段。
Valentić指出:“新的變化在於利用以太坊(ETH)智能合約託管包含惡意命令的URL,並下載第二階段惡意軟體。”他補充道:
“這是我們以前沒有見過的,這突顯了惡意行為者快速發展的檢測規避策略,他們正在搜尋開源庫和開發者。”
精心策劃的加密詐騙活動
這些惡意軟體包是一個更為龐大且複雜的社會工程詐騙行動的一部分,主要通過GitHub進行。
攻擊者建立了偽造的加密貨幣交易機器人倉庫,通過虛假的提交記錄、專門創建用於關注倉庫的假用戶帳戶,以及多個維護者帳戶模擬活躍開發。同時,利用專業化的項目描述和文件,營造出高度可信的形象。
攻擊者手法持續演化
2024年,安全研究人員已記錄了23起與加密貨幣相關的開源倉庫惡意攻擊。Valentić總結稱,這一最新攻擊手法表明,針對代碼倉庫的攻擊正在演變,攻擊者將區塊鏈技術與複雜的社會工程手段結合,以繞過傳統檢測機制。
攻擊者的目標並不僅限於以太坊(ETH)。今年4月,一個偽裝成Solana(SOL)交易機器人的虛假GitHub倉庫曾被用於分發隱蔽惡意軟體,竊取加密錢包憑證。駭客還曾針對“Bitcoinlib”發起攻擊,該庫旨在簡化比特幣(BTC)的開發。