黑客发现了一种新方法,可将恶意软件、指令和链接隐藏在以太坊智能合约中以规避安全扫描检测,针对代码仓库的攻击正变得愈发复杂。
网络安全公司ReversingLabs的研究人员在Node包管理器(NPM)中发现两个名为"colortoolsv2"和"mimelib2"的虚假JavaScript包。
这两个于7月上传的软件包通过将以太坊智能合约作为恶意指令的载体来欺骗安全系统。ReversingLabs研究员Lucija Valentić在周三发布的博客中披露,这些软件包实质是下载器,会从以太坊区块链智能合约中提取命令控制服务器地址。
一旦安装,这些软件包就会查询区块链获取下载第二阶段恶意软件的URL,进而传递恶意负载。由于区块链流量具有合法性,这种手法能有效掩盖恶意活动,大幅增加检测难度。
黑客采用以太坊智能合约实施新型攻击策略
包括朝鲜 Lazarus 集团在内的黑客组织此前就曾利用以太坊智能合约传播恶意软件。但ReversingLabs研究员Lucija Valentić指出,最新发现的攻击手法存在本质区别。
如今黑客将网址(URL)直接嵌入以太坊智能合约,这些网址会诱导受害者下载恶意软件到本地设备。这种利用区块链隐匿特性的新型攻击手法前所未见,使得安全系统更难识别。
Valentić表示该事件表明,黑客针对开发者和开源代码平台的攻击手段正加速进化。这款恶意软件是GitHub上加密货币交易机器人诈骗项目的组成部分。
为使项目更具迷惑性,黑客会伪造更新日志、创建虚假用户账户、设置多个虚假维护者,并编写专业级项目描述。这些误导性信息诱使开发者信任并下载恶意软件。
2024年安全专家已在开源平台发现23起涉及加密货币的诈骗案件,黑客均采用恶意软件隐藏手段。Valentić认为这种新型攻击表明诈骗技术正日趋精密。
更早的4月,黑客曾伪造Solana交易机器人GitHub项目,暗中安装窃取加密货币钱包信息的恶意软件。他们还针对比特币开发工具"Bitcoinlib"发起攻击,显示出黑客正在多平台布局窃取用户资产。
