Hacker nutzen Ethereum-Verträge aus, um Malware in npm-Paketen zu verstecken

• Malware nutzt Ethereum-Verträge für versteckte Befehle
• Bösartige npm-Pakete nutzen Open-Source-Bibliotheken aus
• Gefälschte Kampagne beinhaltet Kryptowährungshandels-Bots

Ein aktueller Bericht des Sicherheitsunternehmens ReversingLabs zeigte, dass Hacker Ethereum Smart Contracts als Teil einer neuen Technik verwenden, um Malware in npm-Paketen zu verstecken. Dieser Ansatz wurde in zwei im Juli veröffentlichten Paketen identifiziert, genannt "colortoolsv2" und "mimelib2", die Befehle zur Steuerung und Kontrolle direkt aus On-Chain-Verträgen extrahierten.

Laut der Forscherin Lucija Valentic führten die Pakete verschleierte Skripte aus, die Ethereum-Verträge abfragten, um die Nutzlast für die nächste Infektionsstufe zu finden. Diese Methode ersetzt die herkömmliche Praxis, Links direkt in den Code einzufügen, und erschwert es den Bibliotheksbetreuern, die Malware zu erkennen und zu entfernen. "Das ist etwas, das wir noch nie zuvor gesehen haben", sagte Valentic und hob die Raffinesse der Technik sowie die Geschwindigkeit hervor, mit der Bedrohungsakteure ihre Strategien anpassen.

Neben der Nutzung von Smart Contracts erstellten die Angreifer gefälschte GitHub-Repositories mit Kryptowährungsbezug, wie etwa Handels-Bots, die künstlich erhöhte Aktivität zeigten. Gefälschte Sterne, automatisierte Commits und fiktive Maintainer-Profile wurden verwendet, um Entwickler zu täuschen und sie dazu zu bringen, die Pakete in ihre Projekte zu integrieren.

Obwohl die identifizierten Pakete nach einem Bericht bereits entfernt wurden, warnte ReversingLabs, dass der Vorfall Teil einer größeren Kampagne ist, die darauf abzielt, die npm- und GitHub-Ökosysteme zu kompromittieren. Unter den gefälschten Repositories befand sich "solana-trading-bot-v2", das Tausende von oberflächlichen Commits aufwies, um Glaubwürdigkeit zu erlangen, während gleichzeitig bösartige Abhängigkeiten eingefügt wurden.

Valentic erklärte, dass die Untersuchung Hinweise auf eine breitere, koordinierte Anstrengung ergab, die darauf abzielt, bösartigen Code in Bibliotheken einzuschleusen, die von Entwicklern weit verbreitet genutzt werden. "Diese jüngsten Angriffe von Bedrohungsakteuren, einschließlich der Schaffung ausgeklügelter Angriffe unter Verwendung von Blockchain und GitHub, zeigen, dass Repository-Angriffe sich weiterentwickeln", betonte sie.

Das Unternehmen hatte auch frühere Kampagnen identifiziert, die das Vertrauen der Entwickler in Open-Source-Pakete missbrauchten. Diese jüngste Kampagne zeigt jedoch, wie Blockchain-Technologie kreativ in Malware-Schemata integriert wird, was die Komplexität der Sicherheit im Ökosystem der Entwicklung von Anwendungen und Projekten im Zusammenhang mit Kryptowährungen erhöht.