Недавно исследователи обнаружили новую партию вредоносных пакетов в репозитории npm. Злоумышленники занимаются таймсквоттингом - техникой, при которой они выдают себя за популярные проекты в реестре npm. Кроме того, они используют смарт-контракты Ethereum, чтобы скрыть адреса управляющих серверов и избежать обнаружения.
Описание
Аналитики из Checkmarx, Phylum и Socket выпустили предупреждения об уникальном использовании смарт-контрактов Ethereum. Мошенническая деятельность была впервые обнаружена 31 октября 2024 года, и, по оценкам, злоумышленники опубликовали на npm не менее 287 вредоносных пакетов.
Вредоносные пакеты содержат обфусцированный JavaScript-код, который выполняется во время или после установки. В конечном итоге это приводит к загрузке бинарного файла с удаленного сервера, что позволяет хакерам закрепиться в целевой системе. Кроме того, конфиденциальная информация, собранная на взломанной машине, такая как данные о графическом процессоре, CPU, количестве памяти, имени пользователя и версии ОС, отправляется обратно на сервер злоумышленников.
Что делает эту кампанию особенно интересной, так это взаимодействие между JavaScript и смарт-контрактами Ethereum. Используя библиотеку ethers.js, код JavaScript извлекает из смарт-контракта IP-адрес управляющего сервера, который затем используется для загрузки вредоносной полезной нагрузки на следующем этапе.
Исследователи отмечают, что из-за децентрализованной природы блокчейна заблокировать такую кампанию довольно сложно. IP-адреса, обслуживаемые смарт-контрактом, могут регулярно обновляться, что позволяет вредоносному ПО беспрепятственно подключаться к новым адресам по мере блокировки или уничтожения старых.
Применяя технологию блокчейн таким образом, злоумышленники получают два существенных преимущества. Во-первых, их инфраструктуру становится практически невозможно уничтожить, а во-вторых, децентрализованная архитектура делает блокировку их коммуникаций крайне затруднительной.
Хотя личность хакерской группы пока неизвестна, команда Socket Threat Research Team обнаружила сообщения об ошибках, написанные на русском языке, что позволяет предположить, что за этой кампанией могут стоять русскоязычные злоумышленники.
Indicators of Compromise
IPv4
- 45.125.67.172
IPv4 Port Combinations
- 193.233.201.21:3001
- 194.53.54.188:3001
- 45.125.67.172:1228
- 45.125.67.172:1337
URLs
- http://193.233.201.21:3001
- http://193.233.201.21:3001/node-linux
- http://193.233.201.21:3001/node-macos
- http://193.233.201.21:3001/node-win.exe
Emails
SHA1
- 2addf6ef678f9f663b00e13e3bb2fa0a37299dd0
- 5ded160d97657902a14ecca95acfb01c7bf957d1
- 7ac12ba9822df1f6652fd3dd67f61e026719a76a
SHA256
- 0801b24d2708b3f6195c8156d3661c027d678f5be064906db4fefe74e1a74b17
- 3f4445eaf22cf236b5aeff5a5c24bf6dbc4c25dc926239b8732b351b09698653
- df67a118cacf68ffe5610e8acddbe38db9fb702b473c941f4ea0320943ef32ba