Em resumo
- As bibliotecas de código público estão sendo envenenadas com malware que está sendo baixado via Ethereum Smart Contracts.
- A empresa de segurança de software revertendolabs identificou uma rede sofisticada de pacotes maliciosos usando esse método com atividade falsa para dar uma sensação de legitimidade.
- O diretor de segurança do Binance, Jimmy Su, disse a Decrypt em agosto que o envenenamento por pacotes como se esse é um dos principais vetores de ataque que os hackers norte -coreanos usam.
Empresa de segurança de software Reverterlabs identificou dois pacotes de código de código aberto que usam Ethereum Contratos inteligentes para baixar malware. Ele faz parte de uma “campanha sofisticada” de atores maliciosos que tentam invadir os usuários por meio de bibliotecas de código público relacionadas a blockchain envenenadas-um vetor de ataque Binance anteriormente vinculou -se a hackers norte -coreanos.
As bibliotecas de dois Node Package Manager (NPM), ou pacotes, chamados Colortoolsv2 e Mimelib2foram efetivamente idênticos, pois eles continham dois arquivos, um dos quais executaria um script que baixaria a segunda metade do ataque de malware por meio de um Ethereum contrato inteligente. Os pacotes NPM são coleções de código reutilizável e de código aberto que os desenvolvedores usam com frequência.
Lucija Valentić, pesquisador de ameaças de software da ReversingLabs, escreveu Que o uso de contratos inteligentes era “algo que não vimos anteriormente”.
“‘Downloaders’ que recuperam malware em estágio avançado estão sendo publicados no repositório da NPM semanalmente-se não diariamente”, disse ela. “O que há de novo e diferente é o uso de contratos inteligentes da Ethereum para hospedar os URLs onde estão localizados comandos maliciosos, baixando o malware da segunda etapa”.
Esses dois pacotes eram apenas a ponta do iceberg, pois o ReversingLabs encontrou uma campanha maior de pacotes envenenados no Github. A empresa de segurança descobriu uma rede de repositórios do GitHub que estavam conectados ao pacote malicioso mencionado Colortoolsv2. A maior parte da rede foi marcada como Bots de Negociação de Criptografia ou Ferramentas de Rongas de Token.
“Embora o pacote da NPM não tenha sido muito sofisticado, houve muito mais trabalho em fazer com que os repositórios que mantinham o pacote malicioso parecessem confiáveis”, disse Valentić.
Ela explicou no relatório que alguns repositórios tinham milhares de começos, um bom número de estrelas e alguns colaboradores, o que poderia levar um desenvolvedor a confiar nele. Mas o reversorlabs acredita que a maior parte dessa atividade foi falsificada pelos atacantes.
“É especialmente perigoso porque os programadores não pensam que seria um problema quando usam bases de código mantidas publicamente”, 0xtoolman, um detetive pseudônimo na cadeia em Bubleblemapscontado Descriptografar. “Pode ser a suposição de que o código aberto é igual ao monitoramento público igual a segurança. Pode ser simplesmente que se não possa verificar todos os códigos que ele está usando, pois não o escreveu, e levaria muito tempo para fazê -lo”.
Binance Links NPM Envenening à RPDC
Grande troca centralizada Binance contou Descriptografar mês passado O fato de estar ciente de tais ataques e força os funcionários a passar por bibliotecas da NPM com um pente de dente fino como resultado.
O diretor de segurança do Binance, Jimmy Su, explicou que o envenenamento por pacotes é um vetor crescente de ataques para hackers norte -coreanos, que ele identificou como a maior ameaça para as empresas de criptografia.
“O maior vetor atualmente contra a indústria criptográfica são os atores estatais, particularmente na RPDC, (com) Lazarus”, disse Su disse à Descriptografar em agosto. “Eles tiveram um foco de criptografia nos últimos dois, três anos e tiveram bastante sucesso em seus empreendimentos”.
Acredita -se que hackers norte -coreanos tenham sido responsáveis por 61% de toda a criptografia roubada em 2024uma cadeia relatório revelado, que totalizou US $ 1,3 bilhão. Desde então, o O FBI atribuiu atacantes norte -coreanos para o Hack de US $ 1,4 bilhãoque é o maior hack de criptografia de todos os tempos.
Enquanto o principal vetor de ataque que o SU observou é através de funcionários falsos, o envenenamento por pacotes da NPM está em segundo lugar ao lado de golpes de entrevistas falsas. Como tal, as principais trocas de criptografia compartilham inteligência via telegrama e grupos de sinais para que possam destacar as bibliotecas envenenadas.
“Estamos principalmente nessa aliança na linha de frente, portanto, para os socorristas, quando (existem) hacks ou (precisamos) de resposta a incidentes. Estamos sempre nesse grupo, como em outras trocas, como Coinbase, Kraken”, explicou Su. “Estamos em aliança com essas trocas há anos. Existem mais formais que estão sendo formados hoje, mas em termos de operação na linha de frente. Estamos fazendo isso há anos”.
Debrie diário Boletim informativo
Comece todos os dias com as principais notícias agora, além de recursos originais, um podcast, vídeos e muito mais.
Fontedecrypt
