crypto.ru
Исследователи компании ReversingLabs сообщили о новой форме атак на цепочку поставок программного обеспечения. Злоумышленники использовали смарт-контракты Ethereum, чтобы скрывать вредоносный код и обходить традиционные системы защиты. Это 1-й случай, когда блокчейн применяется как канал для загрузки вредоносных компонентов в подобных методах.
Атака началась с размещения на платформе Node Package Manager (NPM) 2-х пакетов под названиями colortoolsv2 и mimelib2. На 1-й взгляд они выглядели как обычные инструменты для разработчиков. На практике же они обращались к смарт-контрактам в сети Ethereum, чтобы получать скрытые ссылки, ведущие на 2-ю стадию вредоносного ПО. Такой метод маскировки делал трафик похожим на легитимные операции в блокчейне.
По словам исследователя Lucija Valentic, это подчеркивает быстрые изменения в тактике киберпреступников. Ранее они использовали такие сервисы, как GitHub Gists, Google Drive или OneDrive для размещения вредоносных ссылок. Теперь же блокчейн стал новым инструментом в их арсенале, усложняя обнаружение пакетов в популярных репозиториях.
ReversingLabs отмечает, что выявленные пакеты были частью более масштабной кампании. Они связаны с фальшивыми репозиториями на GitHub, которые имитировали ботов для криптотрейдинга. Чтобы создать видимость легитимности, злоумышленники накручивали коммиты, звезды и генерировали поддельные аккаунты.
Проблема атак на цепочку поставок через открытые репозитории не нова. За последний год было зафиксировано более 20 кампаний с вредоносными пакетами в NPM и PyPI. Чаще всего они были направлены на кражу криптокошельков или установку майнеров. Новый случай показывает, что злоумышленники переходят к более сложным методам внедрения.