Los hackers de criptomonedas ahora están utilizando contratos inteligentes de Ethereum para ocultar cargas útiles de malware

Ethereum se ha convertido en el último frente para los ataques a la cadena de suministro de software.

Investigadores de ReversingLabs descubrieron a principios de esta semana dos paquetes maliciosos de NPM que utilizaban smart contracts de Ethereum para ocultar código dañino, permitiendo que el malware eludiera los controles de seguridad tradicionales.

NPM es un gestor de paquetes para el entorno de ejecución Node.js y se considera el mayor registro de software del mundo, donde los desarrolladores pueden acceder y compartir código que contribuye a millones de programas de software.

Los paquetes, “colortoolsv2” y “mimelib2”, fueron subidos al ampliamente utilizado repositorio Node Package Manager en julio. A primera vista, parecían ser utilidades simples, pero en la práctica, aprovechaban la blockchain de Ethereum para obtener URLs ocultas que dirigían a los sistemas comprometidos a descargar malware de segunda etapa.

Al incrustar estos comandos dentro de un smart contract, los atacantes disfrazaban su actividad como tráfico legítimo de blockchain, dificultando su detección.

“Esto es algo que no habíamos visto anteriormente”, dijo la investigadora de ReversingLabs, Lucija Valentić, en su informe. “Destaca la rápida evolución de las estrategias de evasión de detección por parte de actores maliciosos que están acechando repositorios de código abierto y desarrolladores.”

La técnica se basa en un método antiguo. Ataques anteriores han utilizado servicios confiables como GitHub Gists, Google Drive o OneDrive para alojar enlaces maliciosos. Al aprovechar los smart contracts de Ethereum en su lugar, los atacantes añadieron un giro relacionado con las criptomonedas a una táctica de cadena de suministro ya peligrosa.

El incidente forma parte de una campaña más amplia. ReversingLabs descubrió que los paquetes estaban vinculados a repositorios falsos de GitHub que se hacían pasar por cryptocurrency trading bots. Estos repositorios estaban inflados con commits fabricados, cuentas de usuario falsas y recuentos de estrellas aumentados para parecer legítimos.

Los desarrolladores que descargaban el código corrían el riesgo de importar malware sin saberlo.

Los riesgos en la cadena de suministro de herramientas cripto de código abierto no son nuevos. El año pasado, los investigadores señalaron más de 20 campañas maliciosas dirigidas a desarrolladores a través de repositorios como npm y PyPI.

Muchas estaban dirigidas a robar credenciales de wallets o instalar crypto miners. Pero el uso de smart contracts de Ethereum como mecanismo de entrega muestra que los adversarios se están adaptando rápidamente para integrarse en los ecosistemas blockchain.

Una lección para los desarrolladores es que los commits populares o los mantenedores activos pueden ser falsificados, y que incluso paquetes aparentemente inocuos pueden portar cargas ocultas.