Киберпреступники взяли на вооружение новую тактику кражи криптовалют, используя смарт-контракты Ethereum для обхода обнаружения вредоносных пакетов npm, сообщили в компании ReversingLabs, занимающейся безопасностью программного обеспечения.
В ходе атаки использовался код для сокрытия командно-управляющих инструкций для пакетов Node Package Manager (NPM), что привело к внедрению опасных элементов с открытым исходным кодом в обширную коллекцию библиотек JavaScript.
Исследователь ReversingLabs Лусия Валентик рассказала, что два пакета, появившиеся в июле, «colortoolsv2» и его клон «mimelib2» извлекали URL-адреса C2 из ончейн-контрактов перед загрузкой загрузчика второго этапа.
Пакеты выполняли замаскированный скрипт, запрашивая у контракта Ethereum местоположение полезной нагрузки следующего этапа, а не жёстко кодируя ссылки в самом пакете. Этот маршрут усложняет обнаружение и блокировку, открывая новый вектор атаки.
Валентик сообщила, что семейство вредоносных программ было удалено после того, как о нём сообщили специалистам по поддержке npm.
Как только мы решили глубже разобраться в пакетах, мы обнаружили свидетельства гораздо более масштабной кампании, которая была распространена как на npm, так и на GitHub, цель которой — заставить разработчиков загрузить репозитории, содержащие вредоносные пакеты npm.
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
