駭客發現隱藏惡意軟件的新方法於以太坊智能合約中
駭客利用以太坊智能合約來隱藏惡意網址,從而避開安全掃描,這一新型攻擊手法隨著代碼庫的演變而出現。
來自數字資產合規公司ReversingLabs的網絡安全研究人員發現了在Node Package Manager(NPM)包存儲庫中發現的兩個開源惡意軟件包,這是一個大型的JavaScript包和庫的集合。
ReversingLabs的研究員Lucija Valentić在周三的博客中指出,這些惡意軟件包“採用了新穎且創造性的技術,通過以太坊區塊鏈的智能合約來加載惡意軟件”。
這兩個名為“colortoolsv2”和“mimelib2”的包於七月發布,它們“濫用智能合約來隱藏安裝下載惡意軟件的命令”,Valentić解釋道。
為了避免安全掃描,這些包的功能類似於簡單的下載器,而不是直接託管惡意鏈接,它們從智能合約中檢索命令和控制伺服器的地址。
當安裝後,這些包會查詢區塊鏈以獲取下載第二階段惡意軟件的網址,這使得檢測變得更加困難,因為區塊鏈流量看起來是合法的。
一種新的攻擊向量
針對以太坊智能合約的惡意軟件並不新鮮;早在今年早些時候,與北韓有關的駭客集團Lazarus Group就曾使用過。
Valentić指出:“新的和不同之處在於使用以太坊智能合約來托管惡意命令的網址,下載第二階段的惡意軟件。”她補充道:“這是我們之前未見的,突顯了惡意行為者在開源庫和開發者中快速演變的檢測逃避策略。”
一場精心策劃的加密欺騙活動
這些惡意軟件包是更大規模的社交工程和欺騙活動的一部分,主要通過GitHub運作。
威脅行為者創建了假冒的加密貨幣交易機器人庫,這些庫看起來非常可信,通過虛假的提交、專門創建的假用戶賬戶來監控庫、多個維護者賬戶來模擬活躍開發,以及專業外觀的項目描述和文檔。
威脅行為者在演變
在2024年,安全研究人員記錄了23個與加密相關的惡意活動,但這一最新的攻擊向量“顯示了對庫的攻擊正在演變”,結合區塊鏈技術和精心設計的社交工程以繞過傳統的檢測方法,Valentić總結道。
這些攻擊不僅針對以太坊。在四月,一個假冒的GitHub庫假裝成為一個Solana交易機器人,用於分發隱藏的惡意軟件,竊取加密錢包憑證。駭客還針對了“Bitcoinlib”,這是一個旨在簡化比特幣開發的開源Python庫。
這篇報導揭示了駭客如何利用區塊鏈技術的特性來隱藏其行為,這不僅是對現有安全措施的挑戰,更是對開發者和用戶的一次警示。隨著技術的進步,駭客的手法也在不斷演變,這意味著我們需要更加謹慎地對待開源資源,並加強對新型攻擊手法的防範意識。這不僅是技術層面的挑戰,更是對整個加密社區的一次考驗。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
