Os contratos inteligentes do Ethereum empurram silenciosamente os desenvolvedores de direcionamento de malware javascript

 

Os hackers estão usando contratos inteligentes do Ethereum para ocultar cargas úteis de malware dentro de pacotes aparentemente benignos do NPM, uma tática que transforma a blockchain em um canal de comando resiliente e complica as quedas.

e Mimelib2que leu um contrato no Ethereum para buscar um URL para um downloader em segundo estágio, em vez de infraestrutura de codificação no próprio pacote, uma escolha que reduz indicadores estáticos e deixa menos pistas nas revisões do código-fonte.

Os pacotes surgiram em julho e foram removidos após a divulgação. Reverteringlabs traçou sua promoção para uma rede de repositórios do GitHub que representaram robôs, incluindo Solana-trading-bot-V2com estrelas falsas, histórias de comprometimento infladas e mantenedores de puppet de meias, uma camada social que levou os desenvolvedores em direção à cadeia de dependência maliciosa.

Os downloads foram baixos, mas o método é importante. Por The Hacker NewsAssim, Colortoolsv2 vi sete downloads e Mimelib2 um, que ainda se encaixa na segmentação de desenvolvedor oportunista. Snyk e OSV Agora liste os dois pacotes como maliciosos, fornecendo cheques rápidos para as equipes que auditam construções históricas.

História se repetindo

O canal de comando na cadeia ecoa uma campanha mais ampla que os pesquisadores acompanharam no final de 2024 em centenas de erros de digitação da NPM. Nessa onda, os pacotes executados instalam ou pré-instantam scripts que consultaram um contrato Ethereum, recuperaram um URL base e depois baixaram cargas úteis específicas de OS nomeadas nomeadas node-win.exeAssim, node-linuxou node-macos.

Checkmarx documentado um contrato central em 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b juntamente com um parâmetro de carteira 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84com infraestrutura observada em 45.125.67.172:1337 e 193.233.201.21:3001entre outros.

Filum Deobfuscation mostra o ethers.js chamar para getString(address) No mesmo contrato e logs, a rotação de C2 aborda ao longo do tempo, um comportamento que transforma o estado do contrato em um ponteiro móvel para recuperação de malware. Soquete independentemente Mapeou a inundação do Typosquat e publicou as IOCs correspondentes, incluindo o mesmo contrato e carteira, confirmando a consistência da fonte cruzada.

Uma velha vulnerabilidade continua a prosperar

A reversão do LABS enquadra os pacotes 2025 como uma continuação na técnica e não em escala, com a reviravolta que o contrato inteligente hospeda o URL para o próximo estágio, não a carga útil.

O trabalho de distribuição do Github, incluindo os stargazers falsos e os cometidos de tarefas, visa passar a due diligence casual e alavancar atualizações automatizadas de dependência nos clones dos repositórios falsos.

O Blueprint do Investor Crypto: Um curso de 5 dias sobre cofres de bagagem, lotes insiders e alfa ausente

Bom 😎 Sua primeira lição está a caminho.

Por favor, adicione [email protected] para sua lista de permissões de e -mail.

O design se assemelha ao uso anterior de plataformas de terceiros para indireção, por exemplo, Github Gist ou armazenamento em nuvem, mas o armazenamento na cadeia adiciona imutabilidade, legibilidade pública e um local neutro que os defensores não podem ficar facilmente offline.

Por reversorlabs, os COI concretos desses relatórios incluem os contratos Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b ligado aos pacotes de julho e ao contrato de 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6bcarteira 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84padrões de host 45.125.67.172 e 193.233.201.21 com a porta 1337 ou 3001 e os nomes de carga útil da plataforma observados acima.

Hashes para o segundo estágio de 2025 incluem 021d0eef8f457eb2a9f9fb2260dd2e391f009a21e para os valores de 2024 Wave, CheckMarx lista o Windows, Linux e MacOS SHA-256. A reversinglabs também publicou o SHA-1s para cada versão maliciosa do NPM, que ajuda as equipes a digitalizar lojas de artefatos em busca de exposição passada.

Protegendo contra o ataque

Para a defesa, o controle imediato é impedir que os scripts do ciclo de vida sejam executados durante a instalação e o CI. NPM documenta o --ignore-scripts bandeira para npm ci e npm installe as equipes podem colocá -lo globalmente em .npmrcentão permita seletivamente as compilações necessárias com uma etapa separada.

A página Melhores práticas de segurança do Node.js aconselha a mesma abordagem, juntamente com versões de fixação por meio de arquivos e revisão mais rigorosa de mantenedores e metadados.

Bloqueando o tráfego de saída para os COI acima e alertando os registros de construção que inicializam ethers.js para consultar getString(address) fornecer detecções práticas que se alinham ao design C2 baseado em cadeia.

Os pacotes desapareceram, o padrão permanece e a indireção na cadeia agora fica ao lado de erros de digitação e repositórios falsos como uma maneira repetível de alcançar máquinas de desenvolvedores.

Fonte

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 61988

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights