Исследователи компании ReversingLabs обнаружили новую технику скрытной доставки вредоносного программного обеспечения через репозиторий npm. Злоумышленники впервые использовали смарт-контракты блокчейна Ethereum для размещения команд, которые загружают на целевые системы опасные программы. Эта схема является частью масштабной кампании, затрагивающей как npm, так и GitHub, где злоумышленники применяют изощренные методы социальной инженерии, чтобы обмануть разработчиков.
Описание
В июле эксперты обнаружили два пакета - colortoolsv2 и mimelib2, - которые имитируют полезные библиотеки, но содержат скрытую malicious (вредоносную) функциональность. При установке эти пакеты обращаются к смарт-контрактам в сети Ethereum, откуда получают адрес командного сервера (C2), который используется для загрузки второго этапа атаки - загрузчика дополнительного вредоносного кода.
Использование блокчейна для скрытия вредоносной нагрузки - новый тренд в атаках на цепочку поставок программного обеспечения. Обычно злоумышленники размещают команды для загрузки вредоносных программ непосредственно в коде пакета, что упрощает их обнаружение. В данном же случае URL-адрес скрыт в смарт-контракте, что значительно затрудняет анализ и блокировку угрозы.
При этом основным вектором распространения вредоносных пакетов стали репозитории GitHub, где злоумышленники создали сеть поддельных проектов, связанных с криптовалютными торговыми ботами. Например, репозиторий solana-trading-bot-v2 выглядел крайне убедительно: тысячи коммитов, несколько активных сопровождающих, множество звёзд и наблюдателей. Однако при детальном анализе выяснилось, что всё это - искусственно созданная активность.
Аккаунты, поставившие звёзды проекту, были созданы почти одновременно и не имели значимой активности. Большинство коммитов представляли собой малозначимые изменения, такие как добавление и удаление файла LICENSE. Это делалось для того, чтобы увеличить видимую историю разработки и вызвать доверие у разработчиков.
Реальные вредоносные изменения в код вносились с аккаунтов slunfuedrac и cnaovalles, которые добавляли зависимости на пакеты colortoolsv2 и mimelib2. А инфраструктура для накрутки коммитов и звезд поддерживалась пользователем pasttimerles и другими подставными аккаунтами.
Данная кампания демонстрирует растущую изощренность атак на открытые репозитории. Злоумышленники целенаправленно атакуют разработчиков, связанных с криптовалютной тематикой, используя как технические новшества, так и методы социальной инженерии.
Индикаторы компрометации
SHA1
- 021d0eef8f457eb2a9f9fb2260dd2e391f009a21
- 1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b
- 678c20775ff86b014ae8d9869ce5c41ee06b6215
- bda31e9022f5994385c26bd8a451acf0cd0b36da
- c5488b605cf3e9e9ef35da407ea848cf0326fdea
- db86351f938a55756061e9b1f4469ff2699e9e27
