لقد عثرت الجهات الفاعلة على التهديد إلى طريقة جديدة لتقديم برامج وأوامر وروابط ضارة داخل العقود الذكية Ethereum للتهرب من عمليات مسح الأمن مع تطور هجمات باستخدام مستودعات الكود.
عثر باحثو الأمن السيبراني في شركة Digital Asset Compliance Company على قطع جديدة من البرامج الضارة مفتوحة المصدر التي تم اكتشافها في مستودع حزمة Package Manager (NPM) ، وهي مجموعة كبيرة من حزم JavaScript والمكتبات.
وقالت لوسيجا فالنتيتش باحثة ResperingLabs في أحد المدونات يوم الأربعاء ، إن حزم البرامج الضارة “تستخدم تقنية جديدة وإبداعية لتحميل البرامج الضارة على الأجهزة المعرضة للخطر – العقود الذكية لـ Ethereum blockchain”.
وأوضح فالنتيتش: “إن الحزمان ،” Colortoolsv2 “و” Mimelib2 “، نُشر في يوليو ،” العقود الذكية المعتدى عليها لإخفاء الأوامر الضارة التي قامت بتركيب البرامج الضارة للتنزيل على الأنظمة المختصرة “، كما أوضح فالنتيتش.
لتجنب عمليات مسح الأمان ، كانت الحزم تعمل كجهات تنزيل بسيطة ، وبدلاً من استضافة روابط ضارة مباشرة ، قاموا باسترداد عناوين خادم الأوامر والتحكم من العقود الذكية.
عند تثبيته ، ستقوم الحزم بالاستعلام عن blockchain لجلب عناوين URL لتنزيل البرامج الضارة للمرحلة الثانية ، والتي تحمل الحمولة النافعة أو الإجراء ، مما يجعل الكشف أكثر صعوبة لأن حركة مرور blockchain تبدو شرعية.
حزم NPM 'colortoolsv2' و 'mimelib2' على github. مصدر: REVERSINGLABS
متجه هجوم جديد
البرامج الضارة التي تستهدف العقود الذكية Ethereum ليست جديدة ؛ تم استخدامه في وقت سابق من هذا العام من قبل مجموعة القرصنة التابعة لكوريا الشمالية The Lazarus Group.
وقال فالنتيتش ، الذي أضاف: “ما هو جديد ومختلف هو استخدام عقود Ethereum Smart لاستضافة عناوين URL حيث توجد الأوامر الضارة ، وتنزيل البرامج الضارة في المرحلة الثانية”.
“هذا شيء لم نره سابقًا ، وهو يسلط الضوء على التطور السريع لاستراتيجيات التهرب من الكشف من قبل الجهات الفاعلة الخبيثة الذين يتجولون في مستودعات ومطورين المصادر المفتوحة.”
حملة خداع للتشفير
كانت حزم البرامج الضارة جزءًا من حملة أكبر من الهندسة الاجتماعية والخداع التي تعمل بشكل أساسي من خلال GitHub.
أنشأت الجهات الفاعلة للتهديدات مستودعات تداول العملة المشفرة المزيفة المصممة لتبدو جديرة بالثقة للغاية من خلال الالتزامات ملفقة ، وحسابات المستخدمين المزيفة التي تم إنشاؤها خصيصًا لمشاهدة المستودعات ، وحسابات الصيادين المتعددة لمحاكاة التطوير النشط ، وأوصاف المشروع المحترفة والوثائق.
متعلق ب: حذر مستخدمو التشفير مع قيام الإعلانات بدفع تطبيقات التشفير المحملة بالبرامج الضارة
الجهات الفاعلة التهديد تتطور
في عام 2024 ، قام باحثو الأمن بتوثيق 23 حملات ضارة متعلقة بالتشفير حول مستودعات المصدر المفتوح ، ولكن هذا المتجه الأخير للهجوم “يدل على أن الهجمات على المستودعات تتطور” ، يجمع بين تكنولوجيا blockchain والهندسة الاجتماعية المعقدة لتجاوز أساليب الكشف التقليدية.
لا يتم تنفيذ هذه الهجمات فقط على Ethereum. في أبريل ، تم استخدام مستودع GitHub مزيف يتظاهر بصفته روبوت تداول Solana لتوزيع البرامج الضارة الغامضة التي سرقت بيانات اعتماد محفظة التشفير. استهدف المتسللون أيضًا “Bitcoinlib” ، وهي مكتبة Python مفتوحة المصدر مصممة لجعل تطوير Bitcoin أسهل.
مجلة: Bitcoin لترى “دفع واحد كبير” إلى 150 ألف دولار ، ويشمل ضغط ETH: أسرار تجارية