Malware khai thác các hợp đồng thông minh của Ethereum để tránh bị phát hiện

Mối đe dọa mới cho an ninh Blockchain

Các tội phạm mạng đã phát triển một phương pháp tinh vi để phân phối phần mềm độc hại thông qua hợp đồng thông minh của Ethereum, lách khỏi các quét an ninh truyền thống. Sự tiến hóa này trong các cuộc tấn công mạng đã được các nhà nghiên cứu an ninh mạng từ ReversingLabs xác định, những người đã phát hiện phần mềm độc hại mã nguồn mở mới trong kho Node Package Manager (NPM), một bộ sưu tập khổng lồ các gói và thư viện JavaScript.

Cơ Chế Kỹ Thuật Của Cuộc Tấn Công

Nhà nghiên cứu của ReversingLabs, Lucija Valentić, đã nhấn mạnh trong một bài đăng gần đây rằng các gói độc hại, được gọi là "colortoolsv2" và "mimelib2", sử dụng hợp đồng thông minh của Ethereum để ẩn các lệnh độc hại. Những gói này, được phát hành vào tháng 7, hoạt động như các trình tải xuống, phục hồi địa chỉ từ các máy chủ chỉ huy và kiểm soát từ các hợp đồng thông minh thay vì lưu trữ trực tiếp các liên kết độc hại.

Kỹ thuật này làm phức tạp đáng kể nỗ lực phát hiện, vì lưu lượng blockchain xuất hiện hợp pháp, cho phép phần mềm độc hại cài đặt phần mềm tải xuống trên các hệ thống bị xâm phạm mà không gây ra cảnh báo trong các hệ thống an ninh truyền thống.

Sự phát triển trong các chiến lược né tránh

Việc sử dụng hợp đồng thông minh của Ethereum để lưu trữ các URL chứa các lệnh độc hại đại diện cho một kỹ thuật mới trong việc triển khai phần mềm độc hại. Valentić chỉ ra rằng phương pháp này đánh dấu một sự thay đổi đáng kể trong các chiến lược né tránh phát hiện, khi các tác nhân độc hại ngày càng khai thác nhiều kho mã nguồn mở và các nhà phát triển.

Chiến thuật này đã được nhóm Lazarus, liên quan đến Triều Tiên, sử dụng vào đầu năm nay. Tuy nhiên, cách tiếp cận hiện tại cho thấy sự tiến hóa nhanh chóng trong các vectơ tấn công, kết hợp công nghệ blockchain để tăng cường hiệu quả của nó.

Chiến dịch Kỹ thuật xã hội Được phát triển

Các gói độc hại là một phần của một chiến dịch lừa đảo rộng lớn hơn, chủ yếu hoạt động qua GitHub. Các kẻ tấn công đã tạo ra các kho giả mạo của bot giao dịch tiền điện tử, trình bày chúng một cách đáng tin cậy bằng cách:

• Commits được chế tạo
• Tài khoản người dùng giả
• Nhiều tài khoản bảo trì
• Mô tả dự án và tài liệu có diện mạo chuyên nghiệp

Chiến lược kỹ thuật xã hội được xây dựng này nhằm mục đích tránh các phương pháp phát hiện truyền thống bằng cách kết hợp công nghệ blockchain với các phương pháp gian dối, tạo ra một vẻ ngoài hợp pháp khiến việc xác định chúng trở nên khó khăn.

Tình hình Mối đe dọa Đang Mở rộng

Vào năm 2024, các nhà nghiên cứu an ninh đã ghi lại 23 chiến dịch độc hại liên quan đến tiền điện tử trong các kho mã nguồn mở. Tuy nhiên, vectơ tấn công gần đây này nhấn mạnh sự tiến hóa liên tục của các cuộc tấn công vào các kho.

Ngoài Ethereum, các chiến thuật tương tự đã được sử dụng trên các nền tảng khác, chẳng hạn như một kho lưu trữ giả trên GitHub giả mạo là một bot giao dịch của Solana, phân phối malware để đánh cắp thông tin đăng nhập ví tiền điện tử. Hơn nữa, các hacker đã tấn công "Bitcoinlib", một thư viện Python mã nguồn mở được thiết kế để tạo điều kiện cho việc phát triển Bitcoin, điều này càng làm nổi bật tính đa dạng và thích ứng của các mối đe dọa mạng này.

Các Biện Pháp Bảo Vệ Được Khuyến Nghị

Để bảo vệ bản thân khỏi những loại mối đe dọa này, người dùng tiền điện tử cần triển khai nhiều lớp bảo mật:

• Sử dụng ví phần cứng để lưu trữ an toàn
• Kích hoạt xác thực hai yếu tố trên tất cả các nền tảng
• Giữ cho phần mềm bảo mật và thiết bị được cập nhật
• Kiểm tra kỹ lưỡng tính xác thực của các kho mã nguồn trước khi sử dụng chúng
• Triển khai các giải pháp giám sát liên tục để phát hiện các hoạt động đáng ngờ

Sự phát triển của những mối đe dọa này cho thấy tầm quan trọng của việc duy trì các thực hành bảo mật mạnh mẽ và cập nhật trong hệ sinh thái blockchain, đặc biệt đối với các nhà phát triển và người dùng tương tác với hợp đồng thông minh và kho mã nguồn mở.