Malwares cachés dans des smart contracts Ethereum : La nouvelle arme des pirates

Les attaques sur la chaîne d’approvisionnement logicielle évoluent de manière inquiétante alors que les cybercriminels utilisent des contrats intelligents Ethereum pour dissimuler du malware dans des bibliothèques open source. Des recherches présentées par la société de sécurité ReversingLabs montrent que les pirates insèrent désormais des instructions de commande-et-contrôle dans les contrats blockchain, rendant leur détection et leur neutralisation plus difficiles pour les défenseurs. Cette approche illustre la complexité croissante de la distribution de malwares et le rôle de la blockchain en tant qu’outil de cybercriminalité

Comment l’attaque a fonctionné

La campagne visait principalement Node Package Manager (npm) , une plateforme qui héberge des millions de packages JavaScript. Deux packages suspects, “colortoolsv2” et “mimelib2”, sont apparus en juillet et ont servi de vecteurs au code malveillant. 

Au lieu d’intégrer directement des liens dans le package, le malware exécutait des scripts offusqués qui interrogeaient des contrats Ethereum pour récupérer la localisation de la charge utile. Par conséquent, cette méthode compliquait les systèmes de détection traditionnels qui signalent habituellement des domaines malveillants codés en dur.

Une fois que le script a accédé au contrat intelligent, il dirigeait le package infecté pour télécharger un composant secondaire de malware. Ce système permettait aux attaquants de conserver une flexibilité en changeant l’emplacement des charges utiles sur la blockchain, sans altérer le package npm lui-même. 

De plus, la campagne utilisait des dépôts GitHub à thème crypto remplis de fausses étoiles et de commits générés pour paraître légitime, attirant ainsi des développeurs sans méfiance à intégrer les packages.

Campagne plus large sur les plateformes open source

Les chercheurs de ReversingLabs ont découvert que les packages npm malveillants faisaient partie d’une campagne plus large qui s’étendait aux projets GitHub. De faux dépôts comme “solana-trading-bot-v2” tentaient d’établir leur crédibilité par des commits automatisés et une activité communautaire mise en scène. Derrière cette façade, les attaquants faisaient silencieusement tourner des dépendances malveillantes sous différents noms, propageant l’infection à travers plusieurs projets.

De plus, cette attaque faisait suite à des incidents précédents signalés par des entreprises de sécurité où npm et GitHub ont été exploités pour diffuser des bots de trading frauduleux et des utilitaires crypto. Ainsi, la dernière campagne marque une évolution préoccupante, montrant que les acteurs malveillants n’abusent pas seulement de la confiance open source, mais intègrent également la technologie blockchain dans leurs chaînes d’attaque.