Смарт-контракты Ethereum используются для скрытия вредоносного ПО npm

Флаги ReversingLabs colortoolsv2, mimelib2: злоупотребление смарт-контрактами Ethereum для сокрытия вредоносного кода npm. Основательное расследование , документирующее схему, в которой злоумышленники распространяли вредоносный код через npm, используя смарт-контракт Ethereum вместо обычной инфраструктуры для сокрытия и предоставления адресов для команд второго этапа. Они также провели кампанию на GitHub: выдавая себя за торговых ботов, они создавали и поднимали репозитории с тысячами коммитов и звездами, после чего к проектам подключались вредоносные пакеты в качестве зависимостей.

Баннер Weex

Как работает цепочка: От NPM до смарт-контракта

Технически говоря, пакет colortoolsv2 содержал простой загрузчик (index.js), который вызывал внешнюю команду, получая ее адрес не из локального скрипта, а из смарт-контракта Ethereum. Etherscan показывает контракт по адресу 0x1f171a1b07c108eae05a5bccbe86922d66227e2b с функциями чтения, которые возвращают URL для доступа к C2. Такая тактика усложняет обнаружение: конечная команда берется не из хранилища, а из публичного блокчейна. Схема привела к блокировке colortoolsv2 на npm 7 июля, после чего злоумышленники подменили его на mimelib2 с почти идентичной вредоносной логикой и тем же смарт-контрактом для второго этапа.

В логах GitHub видны коммиты, в которых зависимость colortoolsv2, а затем и mimelib2 добавлялись в торговые боты, например, в bot.ts, а соответствующие импорты появлялись в src/index.ts.

Экосистема Ethereum чрезвычайно функциональна, что открывает широкие возможности, но также требует особой осторожности. Узнайте больше о том, что такое MEV в Ethereum? DeFi Power Game Uncovered.

ReversingLabs, не без оснований, уделяет дополнительное внимание сети аккаунтов и проектов, связанных с colortoolsv2, которые были представлены как торговые боты и утилиты. Репозитории вроде solana-trading-bot-v2 выглядели "живыми": тысячи коммитов, несколько "мейнтейнеров", звезд и "наблюдателей", хотя значительная часть активности состояла из автоматических коммитов (например, операций с LICENSE) и похожих аккаунтов, созданных около 10 июля, с минимальным содержанием, таким как README со словами "Hi there." Отдельные коммиты показывают, что пользователи slunfuedrac и cnaovalles добавили вредоносные зависимости; pasttimerles также упоминается с серией коммитов, искусственно завышающих метрики. Все это сделало вставку зависимости npm гораздо менее заметной при поверхностном рассмотрении.

Вот полные индикаторы компрометации (IoC) от ReversingLabs, связанные с кампанией:

• пакеты npm: colortoolsv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27);

• mimelib2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea).

• Второй этап: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21.

• Смарт-контракт: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b.

Внимание, как всегда

ReversingLabs достаточно наглядно показала, как публичная инфраструктура может стать маскировочным узлом для вредоносных команд: смарт-контракт Ethereum использовался в качестве "хранилища" адресов C2, а доверие к GitHub формировалось искусственно с помощью метрик и сетки аккаунтов.

Все это возвращает нас к ключевым принципам Web3, а именно к тому, что доверие - это математика. В результате проверка зависимостей должна основываться на коде, артефактах и сетевых индикаторах, а не на количестве коммитов и звезд. Будьте внимательны и следите за последними обновлениями и возможностями в области криптовалют, блокчейна и DeFi.