惡意軟件利用以太坊智能合約逃避檢測

區塊鏈安全的新威脅

網路犯罪分子已經開發出一種復雜的方法，通過以太坊智能合約分發惡意軟件，從而繞過傳統的安全掃描。這種網路攻擊的演變已被ReversingLabs的網路安全研究人員識別，他們在Node Package Manager (NPM)的代碼庫中發現了新的開源惡意軟件，這是一個龐大的JavaScript包和庫的集合。

攻擊的技術機制

ReversingLabs的研究員Lucija Valentić在最近的一篇文章中指出，名爲"colortoolsv2"和"mimelib2"的惡意軟件包利用以太坊智能合約來隱藏惡意命令。這些於七月發布的軟件包作爲下載器，從智能合約中獲取命令和控制服務器的地址，而不是直接托管惡意連結。

這項技術顯著增加了檢測的難度，因爲區塊鏈流量看起來是合法的，從而允許惡意軟件在受損系統上安裝下載軟件，而不會在傳統安全系統中引起警報。

逃避策略的演變

以太坊智能合約用於托管惡意命令所在的 URLs 代表了一種新穎的惡意軟件部署技術。Valentić 指出，這種方法標志着檢測規避策略的重大變化，因爲惡意行爲者越來越多地利用開源代碼庫和開發者。

這種戰術今年早些時候曾被與朝鮮有關的拉撒路集團使用。然而，目前的策略表明攻擊向量迅速發展，採用區塊鏈技術以提高其有效性。

精心策劃的社交工程活動

惡意軟件包是一個更廣泛的欺騙活動的一部分，該活動主要通過 GitHub 進行。攻擊者創建了虛假的加密貨幣交易機器人存儲庫，通過以下方式使其看起來可信：

• 制造的承諾
• 假用戶帳戶
• 多個維護者帳戶
• 項目描述和專業外觀的文檔

這項精心策劃的社會工程策略旨在通過將區塊鏈技術與欺騙性做法相結合，規避傳統的檢測方法，創造出一種合法性的外觀，從而使其難以被識別。

擴展威脅全景

在2024年，安全研究人員在開源代碼庫中記錄了23個與加密貨幣相關的惡意活動。這一最新的攻擊方式突顯了對代碼庫攻擊的持續演變。

除了以太坊之外，類似的策略也在其他平台上使用，例如一個假冒的GitHub存儲庫，僞裝成一個Solana的交易機器人，分發惡意軟件以竊取加密貨幣錢包的憑據。此外，黑客還攻擊了 "Bitcoinlib"，這是一個旨在促進比特幣開發的開源Python庫，這進一步說明了這些網路威脅的多樣性和適應性。

推薦的保護措施

爲了防範這種類型的威脅，加密貨幣用戶必須實施多層安全措施：

• 使用硬體錢包進行安全存儲
• 在所有平台上啓用雙因素認證
• 保持安全軟件和設備的更新
• 在使用之前仔細檢查代碼庫的真實性
• 實施持續監控解決方案以檢測可疑活動

這些威脅的發展表明，在區塊鏈生態系統中維持強大且最新的安全實踐的重要性，尤其是對於與智能合約和開源代碼庫互動的開發者和用戶。