O Ethereum se tornou a última frente para ataques da cadeia de suprimentos de software.
Pesquisadores da ReverSingLabs no início desta semana descobriram dois pacotes de NPM maliciosos que usaram contratos inteligentes da Ethereum para ocultar código prejudicial, permitindo que o malware ignore as verificações tradicionais de segurança.
O NPM é um gerente de pacotes do Node.JS do ambiente de tempo de execução e é considerado o maior registro de software do mundo, onde os desenvolvedores podem acessar e compartilhar código que contribui para milhões de programas de software.
Os pacotes, “Colortoolsv2” e “Mimelib2”, foram enviados para o repositório de gerenciador de pacotes de nó amplamente utilizado em julho. Eles pareciam ser utilitários simples à primeira vista, mas, na prática, eles tocaram em blockchain do Ethereum para buscar URLs ocultos que direcionavam sistemas comprometidos a baixar malware em segunda etapa.
Ao incorporar esses comandos em um contrato inteligente, os invasores disfarçaram sua atividade como tráfego legítimo de blockchain, dificultando a detecção.
“Isso é algo que não vimos anteriormente”, disse Lucija Valentić, pesquisador de revertendolabs em seu relatório. “Isso destaca a rápida evolução das estratégias de evasão de detecção de atores maliciosos que estão trollando repositórios e desenvolvedores de código aberto”.
A técnica se baseia em um antigo manual. Ataques anteriores usaram serviços confiáveis como Github Gists, Google Drive ou OneDrive para hospedar links maliciosos. Ao alavancar contratos inteligentes da Ethereum, os atacantes adicionaram uma reviravolta com sabor criptográfico a uma tática já perigosa da cadeia de suprimentos.
O incidente faz parte de uma campanha mais ampla. A reversinglabs descobriu os pacotes amarrados a repositórios falsos do GitHub que representaram os robôs de negociação de criptomoedas. Esses repositórios foram acolchoados com compromissos fabricados, contas de usuário falsas e contagens de estrelas infladas para parecer legítimas.
Os desenvolvedores que puxaram o código arriscaram a importação de malware sem estar ciente disso.
Os riscos da cadeia de suprimentos em ferramentas de criptografia de código aberto não são novas. No ano passado, os pesquisadores sinalizaram mais de 20 campanhas maliciosas direcionadas a desenvolvedores por meio de repositórios como NPM e PYPI.
Muitos visavam roubar credenciais da carteira ou instalar mineradores de criptografia. Mas o uso de contratos inteligentes do Ethereum como mecanismo de entrega mostra que os adversários estão se adaptando rapidamente para se misturar aos ecossistemas de blockchain.
Um ponto de vista para os desenvolvedores é que comissões populares ou mantenedores ativos podem ser falsificados, e até pacotes aparentemente inócuos podem carregar cargas úteis ocultas.
Fontecoindesk
