Door Smart Contracts van Ethereum te gebruiken, kunnen slechte actoren nu malware en kwaadwillende code implementeren zonder traditionele beveiligingsscan te doorlopen.
Het volgende is een samenvatting van de informatie die u op deze pagina zult vinden.
- De pakketten gebruiken Ethereum slimme contracten om kwaadaardige payloads te verbergen.
- Onderzoekers vermoeden dat het deel kan uitmaken van een bredere campagne die voornamelijk actief is via GitHub.
ReversingLabs heeft onderzoek gedaan naar de effecten van verschillende geneesmiddelen. gemarkeerd Een nieuwe malware open source die werd geïmplementeerd in de Repository van het knooppuntpakketbeheer. Het maakt gebruik van slimme contracten, verdoezelde code en cryptische scripts om command-and-control URL’s te krijgen die kwaadaardige payloads leveren in gecompromitteerde systemen.
De pakketrepository van NPM is een populair platform geworden om JavaScript -bibliotheken, tools en andere software te distribueren. Het is de afgelopen jaren steeds meer het doelwit van software-supply chain-aanvallen, omdat hackers hebben geleerd deze techniek te gebruiken om ontwikkelaars te overtuigen dat ze kwaadaardige afhankelijkheden nodig hebben voor hun project.
ReversingLabs heeft een nieuwe open-source malware-stam ontdekt verborgen binnen twee NPM-pakketnamen ColortoolSv2 & Mimelib2. Volgens ReversingLabs gebruiken de pakketten Ethereum Smart Contracts voor het op afstand laden van kwaadaardige opdrachten en het installeren van downloadermalware op geïnfecteerde machines.
Aanvankelijk verschijnen beide pakketten als eenvoudige downloaders. In plaats van kwaadaardige links rechtstreeks te hosten, vragen deze pakketten de blockchain op wanneer geïnstalleerd om URL’s op te halen.
Vervolgens werden de URL’s gebruikt om aan te sluiten met aanvallergestuurde servers die een secundaire lading leverden. Deze kwaadaardige payloads zijn meestal gericht op het stelen van gevoelige informatie, het downloaden van software voor externe toegang of fungeren als een toegangspunt voor grotere aanvallen.
De onderzoekers van Reversinglabs beweerden dat deze pakketten deel uitmaakten van een bredere aanval op open-source gemeenschappen zoals NPM, GitHub en anderen. Aanvallers gebruikten misleidende opstellingen en sociale engineering om ontwikkelaars te lokken om deze kwaadaardige code te integreren in apps uit de echte wereld.
Infrastructuurniveau bestaat al lang. ReversingLabs heeft een apart rapport vrijgegeven. gepubliceerd Een Trojanised-pakket van NPM werd eerder dit jaar ontdekt dat transacties stilletjes omleidt van aanvallersgestuurde accounts naar portemonnee zoals Atomic, Exodus of Atomic.
Lazarus, een beruchte Noord -Koreaans hackteam werd ondertussen gearresteerd waargenomen Het heeft eerder dit jaar kwaadaardige NPM-packages ingezet.
Slowmist vlaggen een andere misdaad in 2024 onthuld Een zwendel die een kwaadaardige Ethereum RPC -functie gebruikt om gebruikers van Imtoken’s portemonnee te misleiden.
ReversingLabs heeft een nieuwe aanvalsvector ontdekt die anders is dan de anderen. “Ethereum slimme contracten om de URL’s te hosten waar kwaadaardige opdrachten zich bevinden”, merkte in het rapport op
Reversinglabs waarschuwde ontwikkelaars tegen interactie met bibliotheken van derden of NPM.
“Het is van cruciaal belang voor ontwikkelaars om elke bibliotheek te beoordelen […] En dat betekent dat het terugtrekken van de covers op zowel open source -pakketten als hun onderhouders: verder kijken dan het ruwe aantal onderhouders, commits en downloads om te beoordelen of een bepaald pakket – en de ontwikkelaars erachter – zijn wat ze zelf presenteren. “
“DagelijksCrypto is niet verantwoordelijk voor alle activiteiten die u buiten de dagelijkse crypto uitvoert.”
