Atores maliciosos encontraram uma nova forma de entregar softwares maliciosos, comandos e links por meio de contratos inteligentes da Ethereum, dificultando a detecção em escaneamentos de segurança, à medida que os ataques via repositórios de código evoluem.
Pesquisadores de cibersegurança da empresa de conformidade com ativos digitais ReversingLabs descobriram novos malwares de código aberto no repositório Node Package Manager (NPM), uma grande coleção de pacotes e bibliotecas JavaScript.
Os pacotes de malware utilizam uma técnica nova e criativa para carregar o código malicioso em dispositivos comprometidos — contratos inteligentes da blockchain Ethereum, conforme afirmou a pesquisadora Lucija Valentić em um post no blog da ReversingLabs.
Os dois pacotes, “colortoolsv2” e “mimelib2”, publicados em julho, abusaram dos contratos inteligentes para esconder comandos maliciosos que instalavam malware em sistemas comprometidos, explicou Valentić.
Para evitar escaneamentos de segurança, os pacotes funcionavam como simples “downloaders” e, em vez de hospedar diretamente os links maliciosos, buscavam os endereços dos servidores de comando e controle nos próprios contratos inteligentes.
Ao serem instalados, os pacotes consultavam a blockchain para buscar URLs que baixavam um malware de segunda etapa, responsável por executar a ação maliciosa. Isso dificultava a detecção, já que o tráfego da blockchain parecia legítimo.
Um novo vetor de ataque
Malwares que visam contratos inteligentes da Ethereum não são novidade; essa tática foi usada no início do ano pelo grupo de hackers Lazarus, associado à Coreia do Norte.
“O que é novo e diferente é o uso dos contratos inteligentes da Ethereum para hospedar os URLs com comandos maliciosos, baixando o malware de segunda etapa”, disse Valentić, acrescentando:
“Isso é algo que ainda não havíamos visto e destaca a rápida evolução das estratégias de evasão por parte de atores maliciosos que estão rondando repositórios de código aberto e desenvolvedores.”
Uma campanha elaborada de engenharia social
Os pacotes de malware faziam parte de uma campanha maior de engenharia social e engano, operando principalmente via GitHub.
Os hackers criaram repositórios falsos de bots de negociação de criptomoedas, com aparência altamente confiável, utilizando commits fabricados, contas falsas criadas para seguir os repositórios, múltiplas contas de mantenedores para simular desenvolvimento ativo, e descrições/documentações com aparência profissional.
Usuários de cripto já foram alertados sobre malwares veiculados por meio de anúncios de apps cripto.
Atores maliciosos estão evoluindo
Em 2024, pesquisadores de segurança documentaram 23 campanhas de malware relacionadas a cripto em repositórios open-source, mas esse novo vetor de ataque mostra que os ataques estão evoluindo, combinando tecnologia blockchain com engenharia social para burlar métodos tradicionais de detecção, concluiu Valentić.
Esses ataques não se limitam à Ethereum. Em abril, um repositório falso no GitHub, se passando por um bot de negociação na Solana, foi usado para distribuir malware oculto que roubava credenciais de carteiras. Hackers também visaram a biblioteca “Bitcoinlib”, um código aberto em Python projetado para facilitar o desenvolvimento em Bitcoin.