Actores de amenazas han encontrado una nueva forma de distribuir software malicioso, comandos y enlaces dentro de contratos inteligentes de Ethereum para evadir los escaneos de seguridad a medida que evolucionan los ataques que utilizan repositorios de código.
Investigadores de ciberseguridad de la firma de cumplimiento de activos digitales ReversingLabs han encontrado nuevas piezas de malware de código abierto descubiertas en el repositorio de paquetes de Node Package Manager (NPM), una gran colección de paquetes y librerías de JavaScript.
Los paquetes de malware "emplean una técnica novedosa y creativa para cargar malware en dispositivos comprometidos, contratos inteligentes para la blockchain de Ethereum", la investigadora de ReversingLabs, Lucija Valentić, afirmó en una publicación de blog el miércoles.
Los dos paquetes, “colortoolsv2” y “mimelib2”, publicados en julio, "abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware de descarga en sistemas comprometidos", explicó Valentić.
Para evitar los escaneos de seguridad, los paquetes funcionaron como simples descargadores y, en lugar de alojar directamente enlaces maliciosos, recuperaron las direcciones de los servidores de comando y control de los contratos inteligentes.
Cuando se instalan, los paquetes consultarían la blockchain para obtener URLs para descargar malware de segunda etapa, que lleva la carga útil o acción, lo que dificulta la detección ya que el tráfico de la blockchain parece legítimo.
Un nuevo vector de ataque
El malware que ataca los contratos inteligentes de Ethereum no es nuevo; fue utilizado a principios de este año por el colectivo de hackers afiliado a Corea del Norte, Lazarus Group.
“Lo que es nuevo y diferente es el uso de contratos inteligentes de Ethereum para alojar las URLs donde se encuentran los comandos maliciosos, descargando el malware de segunda etapa”, dijo Valentić, quien añadió:
“Eso es algo que no habíamos visto anteriormente, y destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que están acechando los repositorios de código abierto y a los desarrolladores”.
Una elaborada campaña de engaño en el ámbito de las criptomonedas
Los paquetes de malware formaban parte de una campaña de ingeniería social y engaño más grande y elaborada, que operaba principalmente a través de GitHub.
Los actores de amenazas crearon repositorios falsos de bots de trading de criptomonedas diseñados para parecer muy fiables, mediante commits falsificados, cuentas de usuario falsas creadas específicamente para seguir repositorios, múltiples cuentas de mantenedores para simular un desarrollo activo, y descripciones y documentación de proyectos con apariencia profesional.
Los actores de amenazas están evolucionando
En 2024, los investigadores de seguridad documentaron 23 campañas maliciosas relacionadas con criptomonedas en repositorios de código abierto, pero este último vector de ataque “muestra que los ataques a los repositorios están evolucionando”, combinando la tecnología blockchain con una elaborada ingeniería social para eludir los métodos de detección tradicionales, concluyó Valentić.
Estos ataques no solo se ejecutan en Ethereum. En abril, un repositorio falso de GitHub que se hacía pasar por un bot de trading de Solana fue utilizado para distribuir malware ofuscado que robaba credenciales de monederos de criptomonedas. Los hackers también han atacado “Bitcoinlib”, una biblioteca de Python de código abierto diseñada para facilitar el desarrollo de Bitcoin.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.