Des hackers exploitent des contrats Ethereum pour dissimuler des logiciels malveillants dans des paquets npm

• Des logiciels malveillants utilisent des contrats Ethereum pour des commandes cachées
• Des paquets npm malveillants exploitent des bibliothèques open source
• Une fausse campagne inclut des bots de trading de cryptomonnaies

Un rapport récent de la société de sécurité ReversingLabs a révélé que des hackers utilisent des smart contracts Ethereum dans le cadre d'une nouvelle technique pour dissimuler des logiciels malveillants dans des paquets npm. Cette approche a été identifiée dans deux paquets publiés en juillet, appelés "colortoolsv2" et "mimelib2", qui extrayaient des instructions de commande et de contrôle directement à partir de contrats on-chain.

Selon la chercheuse Lucija Valentic, les paquets exécutaient des scripts obscurcis qui interrogeaient des contrats Ethereum afin de localiser la charge utile pour la prochaine étape de l'infection. Cette méthode remplace la pratique traditionnelle d'insérer des liens directement dans le code, ce qui complique la tâche des mainteneurs de bibliothèques pour détecter et supprimer le logiciel malveillant. « C'est quelque chose que nous n'avions jamais vu auparavant », a déclaré Valentic, soulignant la sophistication de la technique et la rapidité avec laquelle les acteurs malveillants adaptent leurs stratégies.

En plus d'utiliser des smart contracts, les attaquants ont créé de faux dépôts GitHub à thème cryptomonnaie, tels que des bots de trading, qui affichaient une activité artificiellement gonflée. De fausses étoiles, des commits automatisés et des profils fictifs de mainteneurs étaient utilisés pour tromper les développeurs et les inciter à faire confiance aux paquets et à les inclure dans leurs projets.

Bien que les paquets identifiés aient déjà été supprimés après un signalement, ReversingLabs a averti que l'incident fait partie d'une campagne plus vaste visant à compromettre les écosystèmes npm et GitHub. Parmi les faux dépôts figurait "solana-trading-bot-v2", qui comportait des milliers de commits superficiels pour gagner en crédibilité tout en insérant des dépendances malveillantes.

Valentic a expliqué que l'enquête a révélé des preuves d'un effort coordonné plus large visant à infiltrer du code malveillant dans des bibliothèques largement utilisées par les développeurs. « Ces récentes attaques menées par des acteurs malveillants, y compris la création d'attaques sophistiquées utilisant la blockchain et GitHub, montrent que les attaques sur les dépôts évoluent », a-t-elle souligné.

L'entreprise avait également identifié des campagnes précédentes qui abusaient de la confiance des développeurs dans les paquets open source. Cette dernière campagne, cependant, démontre comment la technologie blockchain est intégrée de manière créative dans des schémas de logiciels malveillants, augmentant la complexité de la sécurité dans l'écosystème de développement d'applications et de projets liés aux cryptomonnaies.