坏演员已经开始使用以太坊智能合约来部署恶意软件和代码,因此能够使用这种新颖的技术绕过传统的安全扫描。
概括
- NPM软件包使用以太坊智能合约隐藏恶意有效载荷。
- 研究人员认为,这是主要通过Github运作的大型运动的一部分。
ReversingLabs的研究人员有 标记 一种新的开源恶意软件,已在Node软件包管理器(NPM)存储库中部署,它使用混淆的脚本和智能合约来获取命令和控制服务器URL,这些服务器将恶意有效载荷传递到受损系统上。
NPM软件包存储库是一个广泛使用的平台,用于分发JavaScript库和工具。在过去的几年中,由于黑客能够通过这种方法诱使开发人员将恶意依赖性纳入其项目,因此它越来越成为软件供应链攻击的目标。
根据ReversingLabs的说法,发现了一种新的开源恶意软件菌株,隐藏在名为Colortoolsv2和Mimelib2的两个NPM软件包中。发现这些软件包使用以太坊智能合约来远程加载恶意命令,并在受感染系统上安装下载器恶意软件。
这两个软件包首先在7月浮出水面,乍一看是简单的下载器。但是,这些软件包不会直接托管恶意链接,而是会在安装时查询区块链以获取URL。
随后,检索到的URL将连接到攻击者控制的命令和控制服务器,然后交付了第二阶段有效载荷。通常,这些恶意有效载荷旨在剥离敏感的数据,安装远程访问工具或用作更大攻击的入口点。
ReversingLabs的研究人员声称,这些包裹是作为针对开源生态系统(如NPM和Github)的更广泛活动的一部分发布的,攻击者依靠社会工程和欺骗性的项目设置来将目标开发人员纳入现实世界中。
威胁行为者长期以来采用了更难检测的基础设施级策略。 ReversingLabs的单独报告 出版 今年早些时候,发现了一个Trojanized NPM软件包,该软件包扫描了安装的钱包和埃及记的系统,并默默地重定向到攻击者控制的地址。
同时,臭名昭著的朝鲜黑客黑客组织拉撒路是 观察到 今年早些时候部署自己的恶意NPM软件包。
安全公司Slowmist在2024年标记的另一个事件 揭示 使用恶意以太坊远程程序调用(RPC)功能的骗局来欺骗Imtoken钱包的用户。
但是,与以前的攻击向量不同,ReversingLabs发现的新广告系列通过使用“以太坊智能合约来托管恶意命令所在的URL”,将其分开。
ReversingLabs敦促开发人员在与NPM库和第三方软件包互动时要谨慎行事。
“对于开发人员来说,评估每个图书馆至关重要 […] 这意味着向后撤回开源包及其维护人员的封面:超越了维护者,提交和下载的原始数量,以评估给定的软件包以及其背后的开发人员是否是他们表现出来的。”
图表到-62500-350x250.png)
