Įsilaužėliai, naudojantys „Ethereum Smart“ sutartis, pateikiant kenkėjiškas programas: Ataskaita

Programinės įrangos apsaugos įmonė ReversiingLabs nustatė du atvirojo kodo kodo paketus, kurie naudojami Ethereum Išmaniosios sutartys atsisiųsti kenkėjiškas programas. Tai yra „rafinuotos kampanijos“, kurioje yra kenkėjiškų aktorių, bandančių nulaužti vartotojus per apsinuodijusias „blockchain“ susijusias viešojo kodo bibliotekas Binance Anksčiau susiejo su Šiaurės Korėjos įsilaužėliais.

Dviejų mazgų paketų tvarkyklės (NPM) bibliotekos arba paketai, vadinami „ColorToolsv2“ ir Mimelib2buvo iš tikrųjų identiški tuo, kad juose yra du failai, iš kurių vienas paleis scenarijų, kuriame atsisiunčiama antroji kenkėjiškų programų atakos pusė per „Ethereum“ protinga sutartis. NPM paketai yra daugkartinio naudojimo, atvirojo kodo kodo, kurį kūrėjai dažnai naudos, kolekcijos.

„Lucija Valentic“, programinės įrangos grėsmė tyrėjui „ReverSingLabs“, rašė kad intelektualių sutarčių naudojimas buvo „to, ko mes anksčiau nematėme“.

„„ Atsisiuntę “, kurie atgauna vėlyvo etapo kenkėjiškas programas, yra skelbiamos„ NPM “saugyklos savaitraštyje, jei ne kasdien“,-sakė ji. „Tai, kas yra nauja ir skirtinga, yra„ Ethereum Smart “sutarčių naudojimas URL, kuriose yra kenkėjiškos komandos, naudojimas, atsisiunčiant antrosios pakopos kenkėjišką programą.“

Šios dvi pakuotės buvo tik ledkalnio viršūnė, nes „ReverSingLabs“ rado didesnę apsinuodijusių paketų kampaniją visame Github. Apsaugos įmonė atrado „GitHub“ saugyklų, sujungtų su minėtu kenksmingu paketu „ColorToolsv2“, tinklą. Didžioji dalis tinklo buvo pažymėti kaip kriptovaliutų prekybos robotai ar žetonų užkandžiavimas.

„Nors NPM paketas nebuvo labai sudėtingas, buvo padaryta daug daugiau darbo, kad saugyklos, laikančios kenksmingą paketą, atrodė patikimas“, – teigė Valentić.

Ataskaitoje ji paaiškino, kad kai kuriose saugyklose buvo tūkstančiai įsipareigojimų, nemažai žvaigždžių ir pora bendraautorių, kurie galėtų paskatinti kūrėją tuo pasitikėti. Tačiau „ReverSingLabs“ mano, kad didžiąją šios veiklos dalį užpuolikai suklastojo.

„Tai ypač pavojinga, nes programuotojai nemanytų Burbuliukaipasakojo Iššifruoti. „Tai gali būti prielaida, kad atvirojo kodo viešas stebėjimas prilygsta saugumui. Gali būti, kad negalima patikrinti kiekvieno jo naudojamo kodekso, nes jis jo nerašė, ir tam prireiktų tiek laiko.”

Binance jungia NPM apsinuodijimą KLPRK

Pagrindinės centralizuotos biržos Binance pasakojo Iššifruoti praėjusį mėnesį Tai, kad žinojo apie tokius išpuolius ir verčia darbuotojus vykti per NPM bibliotekas su dantimis šukomis.

„Binance“ vyriausiasis saugumo pareigūnas Jimmy SU paaiškino, kad apsinuodijimas paketu yra augantis Šiaurės Korėjos įsilaužėlių atakos vektorius, kurį jis nustatė kaip didžiausią grėsmę kriptovaliutų kompanijoms.

„Didžiausias vektorius, šiuo metu prieš kriptovaliutų pramonę, yra valstybės veikėjai, ypač KLDR (su) Lozoriu“, – pasakojo Su SU Iššifruoti rugpjūtį. „Per pastaruosius dvejus, trejus metus jie sutelkė dėmesį į kriptovaliutą ir jiems gana sėkmingai sekėsi.“

Manoma, kad Šiaurės Korėjos įsilaužėliai buvo atsakingi už 61% visų kriptovaliutų pavogė 2024 m.grandininė analizė pranešti Atskleista, kuri iš viso sudarė 1,3 milijardo dolerių. Nuo to laiko FTB priskyrė Šiaurės Korėjos užpuolikus į 1,4 milijardo dolerių bitų hackkuris yra didžiausias visų laikų kriptovaliutas.

Nors pagrindinis išpuolių vektorius, kurį pažymėjo Su netikrūs darbuotojai, apsinuodijimas NPM paketu yra antroje vietoje kartu su netikrais interviu sukčiavimais. Iš esmės pagrindinės kriptovaliutos dalijasi intelektu per telegramų ir signalų grupes, kad jie galėtų pabrėžti apsinuodijusias bibliotekas.

„Mes dažniausiai esame šiame aljanse„ Frontline “, taigi pirmiesiems reagavusiems asmenims, kai (yra) hacks arba (mums reikia) reagavimo į įvykius. Mes visada esame šioje grupėje, kaip ir kitose mainuose, tokiuose kaip„ Coinbase “, Kraken“, – aiškino Su. „Mes jau daugelį metų bendravome su tais mainais. Yra daugiau formalių, kurie yra formuojami šiandien, tačiau kalbant apie veiklą fronto linijoje. Mes tai darome jau daugelį metų.”