Хакери приховали шкідливі посилання у смартконтрактах Ethereum

Дослідники компанії ReversingLabs виявили шкідливі пакети в репозиторії NPM. Вони використовували смартконтракти Ethereum для приховування команд і завантаження вірусу.

Два пакети — colortoolsv2 та mimelib2, опубліковані в липні, працювали як прості завантажувачі. Замість прямих шкідливих посилань вони отримували адреси керівних серверів зі смартконтрактів.

Після встановлення пакети зверталися до блокчейна, щоб отримати URL-адресу для завантаження шкідника другого етапу. Це ускладнює виявлення, адже блокчейн-трафік виглядає легітимним.

За словами дослідниці ReversingLabs Люсії Валентич, новизна полягає саме у використанні смартконтрактів для розміщення URL-адрес. Раніше такі методи не застосовувалися.

Атака стала частиною масштабнішої кампанії із застосуванням соціальної інженерії на GitHub. Зловмисники створювали фальшиві репозиторії торгових ботів, імітуючи активну розробку за допомогою підроблених комітів і кількох акаунтів, щоб викликати довіру.

Валентич зазначила, що новий вектор атаки демонструє еволюцію зламів. Хакери поєднують блокчейн і соціальну інженерію, аби обійти традиційні методи виявлення.

Подібні атаки спрямовані не лише на Ethereum. У квітні підроблений репозиторій на GitHub, замаскований під торгового бота для Solana, поширював шкідливе ПЗ для крадіжки даних гаманців. Хакери також атакували Bitcoinlib — бібліотеку Python для роботи з біткоїном.

Нагадаємо, у серпні засновник CertiK і професор Колумбійського університету Жунхуей Гу заявив, що криптоіндустрія веде «нескінченну війну» з хакерами.