黑客利用以太坊智能合約隱藏惡意軟件新手法

駭客發現隱藏惡意軟件的新方法於以太坊智能合約中

駭客利用以太坊智能合約隱藏惡意軟件、命令和鏈接，以逃避安全掃描，隨著利用代碼庫的攻擊手段不斷演變，威脅行為者找到了一種新的傳播惡意軟件的方式。

數字資產合規公司ReversingLabs的網絡安全研究人員發現了兩個在Node Package Manager（NPM）包庫中發現的開源惡意軟件包，這是一個大型的JavaScript包和庫的集合。

ReversingLabs的研究員Lucija Valentić在周三的博客中表示，這些惡意軟件包「採用了新穎而創造性的技術來在受損設備上加載惡意軟件——以太坊區塊鏈的智能合約」。

這兩個包「colortoolsv2」和「mimelib2」，於七月發布，利用智能合約隱藏惡意命令，安裝下載器惡意軟件於受損系統上。Valentić解釋道，為了避免安全掃描，這些包作為簡單的下載器運行，而不是直接托管惡意鏈接，而是從智能合約中檢索命令和控制服務器地址。

安裝後，這些包會查詢區塊鏈以獲取下載第二階段惡意軟件的URL，這些惡意軟件攜帶有效載荷或執行行動，使檢測變得更加困難，因為區塊鏈流量看起來是合法的。

新的攻擊向量

針對以太坊智能合約的惡意軟件並不新鮮；早在今年早些時候，與北韓有關的駭客集團Lazarus Group就曾使用過這種方法。

Valentić指出：「新的和不同之處在於使用以太坊智能合約來托管惡意命令所在的URL，下載第二階段的惡意軟件。」她補充道：「這是我們之前未曾見過的，突顯了惡意行為者在開源代碼庫和開發者中快速演變的檢測逃避策略。」

一場精心策劃的加密欺詐運動

這些惡意軟件包是更大規模的社交工程和欺騙運動的一部分，主要通過GitHub運行。威脅行為者創建了假冒的加密交易機器人代碼庫，通過虛假的提交、專門創建的假用戶帳戶來監視代碼庫、多個維護者帳戶以模擬活躍的開發，以及專業外觀的項目描述和文檔，來看起來非常可信。

威脅行為者正在進化

2024年，安全研究人員記錄了23個與加密相關的惡意活動，但這一最新的攻擊向量「顯示出對代碼庫的攻擊正在演變」，結合了區塊鏈技術和精心設計的社交工程，以繞過傳統的檢測方法，Valentić總結道。

這些攻擊不僅限於以太坊。今年四月，一個偽造的GitHub代碼庫冒充Solana交易機器人，分發隱藏的惡意軟件，竊取加密錢包憑證。駭客還針對了「Bitcoinlib」，這是一個旨在簡化比特幣開發的開源Python庫。

這篇報導揭示了當前網絡安全領域中的一個重要趨勢：隨著技術的進步，駭客的手法也在不斷演變，這對於開發者和用戶來說，無疑是一個警示。面對這樣的威脅，開發者必須更加謹慎，並加強對開源項目的審查和監控，否則將可能成為下一個攻擊的受害者。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。