I malintenzionati hanno trovato una nuova modalità per diffondere software dannosi, comandi e link all'interno degli smart contract di Ethereum per eludere i controlli di sicurezza, mentre gli attacchi che utilizzano repository di codice si evolvono.
Gli esperti in sicurezza informatica della società di conformità degli asset digitali ReversingLabs hanno individuato nuovi malware open source nel repository di pacchetti Node Package Manager (NPM), una vasta raccolta di pacchetti e librerie JavaScript.
In un post pubblicato mercoledì sul blog, la ricercatrice di ReversingLabs Lucija Valentić ha affermato che i pacchetti malware “utilizzano una tecnica innovativa e creativa per caricare malware sui dispositivi compromessi: gli smart contract della blockchain Ethereum”.
Secondo Valentić, i due pacchetti incriminati: “colortoolsv2” e “mimelib2” pubblicati a luglio, “hanno sfruttato gli smart contract per nascondere comandi malevoli che installavano malware di tipo downloader sui sistemi infettati”.
Per aggirare i controlli di sicurezza, i pacchetti funzionavano come semplici downloader e, invece di ospitare direttamente i link dannosi, recuperavano dagli smart contract gli indirizzi dei server di comando e controllo. Una volta installati, interrogavano la blockchain per ottenere gli URL da cui scaricare il malware di seconda fase, contenente il vero payload, rendendo così molto più difficile la rilevazione: il traffico blockchain appare infatti legittimo.
Nuova modalità di attacco
Il malware che prende di mira gli smart contract Ethereum non è del tutto inedito: era già stato utilizzato quest’anno dal gruppo di hacker nordcoreano Lazarus.
Come ha dichiarato Valentić, “la novità e la differenza sta nell’utilizzo degli smart contract di Ethereum per ospitare gli URL in cui si trovano i comandi dannosi, scaricando il malware di seconda fase”. Aggiungendo:
“Si tratta di qualcosa che non avevamo mai visto prima e che evidenzia la rapida evoluzione delle strategie di elusione del rilevamento da parte di malintenzionati che trollano repository open source e sviluppatori”.
Una sofisticata strategia di inganno
I pacchetti malware fanno parte di una più ampia e complessa campagna di ingegneria sociale e inganno, gestita principalmente tramite GitHub.
I malintenzionati hanno creato repository falsi di bot per il trading di criptovalute progettati per sembrare estremamente affidabili attraverso commit fabbricati, account utente falsi creati appositamente per monitorare i repository, account di manutenzione multipli per simulare uno sviluppo attivo con descrizioni e documentazione dei progetti dall'aspetto professionale.
Attacchi si stanno evolvendo
Come evidenziato da Valentić, nel 2024 i ricercatori nel campo della sicurezza hanno documentato 23 campagne dannose legate alle crypto su repository open source, ma questo ennesimo attacco “dimostra che gli attacchi ai repository si stanno evolvendo”, combinando la tecnologia blockchain con un'ingegnosa manipolazione psicologica per aggirare i tradizionali metodi di rilevamento.
Questi attacchi non vengono eseguiti solo su Ethereum. Ad aprile, un falso repository GitHub che si fingeva un bot di trading su Solana è stato utilizzato per distribuire malware nascosti che rubavano le credenziali del wallet crypto. Gli hacker hanno anche preso di mira “Bitcoinlib”, una libreria Python open source progettata per facilitare lo sviluppo su Bitcoin.