Amenințări cibernetice prin contracte inteligente
Hackerii utilizează contracte inteligente pe Ethereum pentru a disimula malware în pachete npm aparent inofensive, transformând blockchain-ul într-un canal de comandă rezistent și complicând acțiunile de eliminare.
Descoperiri recente
ReversingLabs a identificat două pachete npm, colortoolsv2 și mimelib2, care accesează un contract Ethereum pentru a obține un URL pentru un downloader de a doua etapă, evitând codificarea directă a infrastructurii în pachet. Această strategie reduce indicatorii statici și lasă mai puține indicii în revizuirile codului sursă. Pachetele au fost lansate în iulie și au fost eliminate după ce au fost dezvăluite. ReversingLabs a observat promovarea lor către o rețea de repozitorii GitHub care pretindeau a fi boți de tranzacționare, având stele false și istorii de commit-uri umflate, ceea ce a condus dezvoltatorii către un lanț de dependență malițios.
Statistici ale descărcărilor
Colortoolsv2 a avut șapte descărcări, iar mimelib2 doar una, ceea ce sugerează o țintire oportunistă a dezvoltatorilor. Snyk și OSV au clasificat ambele pachete ca fiind malițioase, oferind verificări rapide pentru echipele care auditează construcțiile istorice.
Tehnica de atac
Canalul de comandă on-chain reflectă o campanie mai amplă observată de cercetători la sfârșitul anului 2024, implicând sute de typosquats npm. Pachetele executau scripturi care interogau un contract Ethereum, recuperând un URL pentru a descărca încărcături specifice sistemului de operare, precum node-win.exe, node-linux sau node-macos. Checkmarx a documentat un contract principal asociat cu un parametru de portofel și infrastructura observată pe anumite adrese IP.
Continuarea tehnicii de atac
ReversingLabs consideră că pachetele din 2025 reprezintă o continuare a tehnicii, în care contractul inteligent găzduiește URL-ul pentru etapa următoare, nu încărcătura. Distribuția pe GitHub, inclusiv stele false și commit-uri minore, are scopul de a ocoli diligența casuală și de a profita de actualizările automate ale dependențelor în clonele repozitoriilor false.
Indicații de compromitere
ReversingLabs a identificat indicații concrete de compromitere, inclusiv contractele Ethereum legate de pachetele din iulie și cele din 2024, portofelul asociat, precum și patternuri de găzduire. Hash-urile pentru a doua etapă din 2025 și valorile SHA-256 pentru sistemele de operare sunt menționate ca fiind relevante pentru identificarea atacurilor.
Protecția împotriva atacurilor
Pentru a preveni atacurile, este esențial să se controleze rularea scripturilor de ciclu de viață în timpul instalării. npm oferă opțiunea –ignore-scripts, iar echipele pot seta aceasta global. Pagina de bune practici de securitate Node.js recomandă blocarea versiunilor prin fișiere de blocare și o revizuire mai strictă a mentorilor și metadatelor. Blocarea traficului de ieșire către IOCs menționate și alertarea pe baza jurnalelor de construcție care inițiază ethers.js pentru a interoga contractele sunt măsuri utile de detecție.
Concluzie
Deși pachetele malițioase au fost eliminate, modelul atacului continuă să evolueze, iar utilizarea canalelor on-chain devine o metodă repetabilă de a accesa mașinile dezvoltatorilor.
