暗号通貨ハッカーがEthereumスマートコントラクトを利用してマルウェアのペイロードを隠蔽

Ethereumは、ソフトウェアサプライチェーン攻撃の最新の標的となっています。

ReversingLabsの研究者は今週初め、Ethereumのスマートコントラクトを利用して有害なコードを隠蔽し、従来のセキュリティチェックを回避することを可能にした2つの悪意あるNPMパッケージを発見しました。

NPMはNode.jsのランタイム環境向けのパッケージマネージャーであり、世界最大のソフトウェアレジストリと見なされています。開発者はここで数百万のソフトウェアプログラムに貢献するコードにアクセスし、共有することができます。

「colortoolsv2」と「mimelib2」というパッケージは、7月に広く利用されているNode Package Managerリポジトリにアップロードされました。一見すると単純なユーティリティのように見えましたが、実際にはEthereumのブロックチェーンを利用して隠されたURLを取得し、侵害されたシステムに第2段階のマルウェアをダウンロードさせていました。

これらのコマンドをスマートコントラクト内に埋め込むことで、攻撃者は自らの活動を正当なブロックチェーントラフィックに偽装し、検出をより困難にしました。

「これはこれまでに見たことがないものです」とReversingLabsの研究者Lucija Valentićはレポートで述べています。「これは、オープンソースリポジトリや開発者を標的とする悪意あるアクターによる検出回避戦略の急速な進化を浮き彫りにしています。」

この手法は古い手口を応用したものです。過去の攻撃では、GitHub Gists、Google Drive、OneDriveなどの信頼されたサービスを利用して悪意あるリンクをホストしていました。今回はEthereumのスマートコントラクトを活用することで、すでに危険なサプライチェーン戦術に暗号資産の要素を加えています。

この事件はより広範なキャンペーンの一部です。ReversingLabsは、偽のGitHubリポジトリに関連付けられたパッケージを発見しました。これらのリポジトリは、cryptocurrency trading botを装っていました。リポジトリには偽造のコミット、偽のユーザーアカウント、誇張されたスター数が追加され、正当なものに見せかけていました。

コードを取得した開発者は、気付かないうちにマルウェアをインポートするリスクがありました。

オープンソースの暗号資産ツールにおけるサプライチェーンリスクは新しいものではありません。昨年、研究者たちはnpmやPyPIなどのリポジトリを通じて開発者を標的とする20以上の悪意あるキャンペーンを指摘しました。

多くはウォレット認証情報の窃取や暗号資産マイナーのインストールを目的としていました。しかし、Ethereumのスマートコントラクトを配信手段として利用することで、攻撃者がブロックチェーンエコシステムに巧妙に溶け込むよう適応していることが示されています。

開発者への教訓は、人気のあるコミットやアクティブなメンテナーも偽装可能であり、一見無害なパッケージにも隠れたペイロードが含まれている可能性があるということです。