Hacker lợi dụng hợp đồng Ethereum để ẩn phần mềm độc hại trong các gói npm

• Phần mềm độc hại sử dụng hợp đồng Ethereum để nhận lệnh ẩn
• Các gói npm độc hại khai thác thư viện mã nguồn mở
• Chiến dịch giả mạo bao gồm các bot giao dịch tiền điện tử

Một báo cáo gần đây từ công ty an ninh mạng ReversingLabs tiết lộ rằng các hacker đang sử dụng hợp đồng thông minh Ethereum như một phần của kỹ thuật mới nhằm ẩn phần mềm độc hại trong các gói npm. Phương pháp này được phát hiện trong hai gói được phát hành vào tháng 7, có tên "colortoolsv2" và "mimelib2", đã trích xuất các lệnh điều khiển và kiểm soát trực tiếp từ các hợp đồng on-chain.

Theo nhà nghiên cứu Lucija Valentic, các gói này thực thi các script bị làm rối mã, truy vấn hợp đồng Ethereum để xác định payload cho giai đoạn tiếp theo của quá trình lây nhiễm. Phương pháp này thay thế cách chèn liên kết trực tiếp vào mã truyền thống, khiến các nhà bảo trì thư viện khó phát hiện và loại bỏ phần mềm độc hại hơn. "Đây là điều mà chúng tôi chưa từng thấy trước đây," Valentic cho biết, nhấn mạnh sự tinh vi của kỹ thuật này và tốc độ mà các tác nhân đe dọa thích nghi chiến lược của họ.

Bên cạnh việc sử dụng hợp đồng thông minh, những kẻ tấn công còn tạo ra các kho lưu trữ GitHub giả mạo với chủ đề tiền điện tử, như các bot giao dịch, thể hiện hoạt động được thổi phồng một cách giả tạo. Các lượt gắn sao giả, các lần commit tự động và hồ sơ bảo trì viên hư cấu được sử dụng để đánh lừa các nhà phát triển tin tưởng vào các gói này và đưa chúng vào dự án của mình.

Mặc dù các gói bị phát hiện đã bị xóa sau khi có báo cáo, ReversingLabs cảnh báo rằng sự việc này là một phần của chiến dịch lớn hơn nhằm xâm phạm hệ sinh thái npm và GitHub. Trong số các kho lưu trữ giả mạo có "solana-trading-bot-v2", với hàng nghìn commit nông nhằm tăng độ tin cậy trong khi chèn các phụ thuộc độc hại.

Valentic giải thích rằng cuộc điều tra đã phát hiện bằng chứng về một nỗ lực phối hợp quy mô lớn nhằm xâm nhập mã độc vào các thư viện được các nhà phát triển sử dụng rộng rãi. "Những cuộc tấn công gần đây của các tác nhân đe dọa, bao gồm việc tạo ra các cuộc tấn công tinh vi sử dụng blockchain và GitHub, cho thấy các cuộc tấn công vào kho lưu trữ đang phát triển," ông nhấn mạnh.

Công ty cũng đã xác định các chiến dịch trước đó lợi dụng sự tin tưởng của các nhà phát triển vào các gói mã nguồn mở. Tuy nhiên, chiến dịch mới nhất này cho thấy công nghệ blockchain đang được tích hợp một cách sáng tạo vào các kế hoạch phát tán phần mềm độc hại, làm tăng độ phức tạp của bảo mật trong hệ sinh thái phát triển ứng dụng và dự án liên quan đến tiền điện tử.