Inteligentne kontrakty Ethereum nadużywane do ukrywania złośliwego oprogramowania npm

ReversingLabs flag colortoolsv2, mimelib2: Inteligentne kontrakty Ethereum nadużywane do ukrywania złośliwego oprogramowania npm. Istotne dochodzenie , które dokumentuje schemat, w którym atakujący rozpowszechniali złośliwy kod za pośrednictwem npm, wykorzystując inteligentny kontrakt Ethereum zamiast konwencjonalnej infrastruktury do ukrywania i obsługi adresów dla poleceń drugiego etapu. Przeprowadzili również kampanię na GitHubie: udając boty handlowe, stworzyli i wzmocnili repozytoria tysiącami commitów i gwiazdek, po czym projekty zostały podłączone do złośliwych pakietów jako zależności.

Baner Weex

Jak działał łańcuch: Od NPM do inteligentnego kontraktu

Technicznie rzecz biorąc, pakiet colortoolsv2 zawierał prosty program ładujący (index.js), który wywoływał zewnętrzne polecenie, pobierając swój adres nie z lokalnego skryptu, ale z inteligentnego kontraktu Ethereum. Etherscan pokazuje kontrakt pod adresem 0x1f171a1b07c108eae05a5bccbe86922d66227e2b z funkcjami odczytu, które zwracają adres URL umożliwiający dostęp do C2. Ta taktyka komplikuje wykrywanie: ostateczne polecenie nie jest pobierane z repozytorium, ale z publicznego łańcucha bloków. Schemat ten doprowadził do zablokowania colortoolsv2 na npm 7 lipca, po czym atakujący zamienili go na mimelib2 z niemal identyczną złośliwą logiką i tym samym inteligentnym kontraktem dla drugiego etapu.

Dzienniki GitHub pokazują zatwierdzenia, w których zależność colortoolsv2, a później mimelib2, zostały dodane do botów handlowych, na przykład w bot.ts, z odpowiednim importem pojawiającym się w src/index.ts.

Ekosystem Ethereum jest niezwykle funkcjonalny, co daje wiele możliwości, ale wymaga również dodatkowej ostrożności. Dowiedz się więcej o Co to jest MEV w Ethereum? Gra o władzę DeFi odkryta.

ReversingLabs, nie bez powodu, poświęca dodatkową uwagę sieci kont i projektów powiązanych z colortoolsv2, które zostały przedstawione jako boty handlowe i narzędzia. Repozytoria takie jak solana-trading-bot-v2 wyglądały na "żywe": tysiące commitów, kilku "opiekunów", gwiazdek i "obserwatorów", chociaż znaczna część aktywności składała się z automatycznych commitów (na przykład operacji z LICENSE) i kont wyglądających podobnie, utworzonych około 10 lipca, z minimalną zawartością, taką jak README z napisem "Cześć" Poszczególne commity pokazują użytkowników slunfuedrac i cnaovalles dodających złośliwe zależności; wspomniany jest również pasttimerles z serią commitów sztucznie zawyżających metryki. Wszystko to sprawiło, że wstawienie zależności npm było znacznie mniej zauważalne przy powierzchownym przeglądzie.

Oto pełne wskaźniki kompromisu (IoC) z ReversingLabs związane z kampanią:

• pakiety npm: colortoolsv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27);

• mimelib2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea).

• Drugi etap: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21.

• Inteligentny kontrakt: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b.

Zwracanie uwagi, jak zawsze

ReversingLabs pokazało dość wyraźnie, w jaki sposób infrastruktura publiczna może stać się węzłem maskującym dla złośliwych poleceń: inteligentny kontrakt Ethereum został wykorzystany jako "magazyn" adresów C2, a zaufanie do GitHub zostało sztucznie ukształtowane poprzez metryki i siatkę kont.

Wszystko to prowadzi nas z powrotem do kluczowych zasad Web3, a mianowicie, że zaufanie to matematyka. W rezultacie weryfikacja zależności powinna opierać się na kodzie, artefaktach i wskaźnikach sieciowych, a nie na liczbie commitów i gwiazdek. Bądź świadomy i bądź na bieżąco z najnowszymi aktualizacjami i możliwościami w zakresie kryptowalut, blockchain i DeFi.