محققان شرکت امنیت سایبری ReversingLabs دو بسته مخرب جدید در مخزن Node Package Manager (NPM) را کشف کردند که با استفاده از قرارداد هوشمند اتریوم، روش نوینی برای پنهانسازی آدرسهای مخرب و دور زدن اسکنهای امنیتی به کار میبرند.
این بستهها با نامهای «colortoolsv2» و «mimelib2» که در ماه ژوئیه منتشر شدهاند، به جای میزبانی مستقیم لینکهای مخرب، آدرسهای سرور فرمان و کنترل را از طریق قراردادهای هوشمند اتریوم دریافت میکنند.
نقش قرارداد هوشمند اتریوم در پنهانسازی آدرسهای مخرب
این روش باعث میشود که دانلود بدافزار مرحله دوم که شامل payload اصلی است، از طریق ترافیک بلاکچین انجام شود و تشخیص آن برای سیستمهای امنیتی دشوار گردد. این نوع حمله جدید نیست و پیشتر گروه هکری کره شمالی Lazarus Group نیز از بدافزارهای مرتبط با قراردادهای هوشمند اتریوم استفاده کرده است. اما نکته نوآورانه این است که آدرسهای فرمان مخرب در خود قراردادهای هوشمند میزبانی میشوند.
ترکیب مهندسی اجتماعی و امنیت بلاکچین در حملات مخرب
این بستهها بخشی از یک کمپین پیچیده مهندسی اجتماعی و فریب هستند که عمدتاً از طریق GitHub انجام میشود و شامل ایجاد مخازن جعلی رباتهای معاملهگر ارز دیجیتال است که با ساخت حسابهای کاربری فیک و توضیحات حرفهای، اعتماد کاربران را جلب میکنند.
در سال ۲۰۲۴، بیش از ۲۳ کمپین مخرب مرتبط با ارزهای دیجیتال در مخازن متنباز ثبت شده است که نشاندهنده تکامل روشهای حمله و ترکیب فناوری امنیت بلاکچین با مهندسی اجتماعی برای عبور از سیستمهای امنیتی سنتی است. این حملات محدود به اتریوم نیست و نمونههایی در شبکه سولانا و کتابخانه بیتکوین نیز دیده شده است.
