Кроссплатформенное вредоносное программное обеспечение использует смарт-контракты Ethereum

В ходе анализа угроз безопасности командой «ШАРД» был изучен один из видов вредоносного программного обеспечения для npm (Node Package Manager - менеджер пакетов для программной платформы Node.js), который использует смарт-контракты Ethereum. Уже опубликовано не менее 287 вредоносных пакетов с помощью «тайпсквоттинг» - это техника, при которой злоумышленники регистрируют доменные имена с опечатками или ошибками, очень похожими на популярные или часто посещаемые сайты. Пользователи, случайно допустившие ошибку в адресе, могут попасть на фальшивую страницу, которая выглядит как оригинальный сайт.

Необходимо отметить, что в классических кибератаках злоумышленники используют централизованные серверы для контроля над вредоносным программным обеспечением. Эти серверы можно заблокировать или закрыть. Однако в этой атаке злоумышленники пошли гораздо более сложным путем. Хакеры создают фальшивые пакеты, которые выглядят как полезные инструменты для программистов, но на самом деле содержат вирусы. Например, один из таких пакетов назывался «haski», что похоже на название популярной и безопасной библиотеки «husky», которая используется для работы с кодом у программистов. Хакеры надеялись, что разработчики не заметят маленькую ошибку в написании и случайно загрузят вредоносный пакет вместо настоящего.

Также злоумышленники использовали блокчейн Ethereum. Более подробно об этом можно ознакомиться в нашем материале.

Как это было реализовано: вместо того чтобы передавать команды напрямую через обычные каналы, которые легко можно заблокировать, «вреднос» использует возможность отправки сообщений через блокчейн Ethereum, который нельзя изменить и сложно заблокировать.

Как используется блокчейн в такой атаке:

1. Ethereum-адрес - злоумышленники могут использовать блокчейн адреса для отправки сообщений или команд.

2. Хакер может зашифровать важную информацию (например, новый адрес, на который должна подключиться зараженная программа), и «спрятать» её в транзакции сети Ethereum. Это похоже на то, как если бы вы написали секретное сообщение и спрятали его в каком-то месте, чтобы его нашли только те, кто знает, где искать.

3. Вредоносная программа на компьютере постоянно проверяет, есть ли какие-то новые сообщения в транзакциях на таких адресах. Когда она находит транзакцию, она извлекает из неё нужную информацию, например, данные о новом сервере, к которому нужно подключиться.

4. Чтобы скрыть свои команды, хакеры могут их зашифровать. То есть даже если кто-то посторонний увидит текст транзакции, он не поймет, что там скрыто. Только зараженная программа может расшифровать текст и выполнить команду.

Как это работает пошагово:

1. Хакер шифрует команду (например, адрес нового сервера) и превращает её в строку символов, которую можно отправить в тексте транзакции на адрес.

2. Вредоносное программное обеспечение на зараженном компьютере регулярно проверяет входящие транзакции адреса на предмет транзакций с сообщениями, в которые имплементированы скрытые команды

3. Когда «вреднос» находит нужную транзакцию, программа извлекает команду (например, новый сервер для подключения) и выполняет её.

4. Если злоумышленники решат сменить сервер, они просто обновляют информацию в новом адресе, и зараженные устройства снова начинают искать новую команду.

Почему это сложно обнаружить?

В блокчейне Ethereum нельзя изменить транзакции, и он децентрализован, то есть нет единого центра, который можно заблокировать. Поэтому хакеры могут использовать его как скрытую сеть для передачи команд, не боясь, что их поймают или заблокируют. Таким образом, злоумышленники могут управлять зараженными компьютерами через сеть Ethereum, передавая команды в виде обычных транзакций, которые выглядят как обычные переводы криптовалюты. Это делает их очень трудными для обнаружения.

Анализ адресов

Удалось установить предполагаемые адреса таких атак, которые участвовали в нескольких криптовалютных мошенничествах и спорных кампаниях, включая инцидент, когда были выведены средства в криптовалюте ETH на сумму эквивалентную $26 млн:

• 0x46b0f9bA6F1fb89eb80347c92c9e91BDF1b9E8CC;

• 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590a84;

• 0xa1b40044ebc2794f207d45143bd82a1b86156c6b.

Способы обезопасить себя

Чтобы защититься от такого типа атаки, важно соблюдать несколько простых, но эффективных правил безопасности при работе с npm, установке пакетов и использовании Интернета в целом. Рассмотрим ключевые рекомендации для защиты от вирусов, распространяющихся через npm и использующих смарт-контракты Ethereum:

1. Устанавливайте только те пакеты, которые имеют хорошую репутацию и большое количество загрузок. Перед установкой проверяйте их через специализированные сайты и смотрите на отзывы, количество звезд и частоту обновлений.

2. Перед установкой пакета из npm всегда просматривайте его исходный код. Если это возможно, проверьте, нет ли в нем подозрительных скриптов или запросов к сторонним серверам.

3. По возможности избегайте использования «бета» или нестабильных версий пакетов, так как они могут содержать уязвимости или быть менее проверенными.

4. Используйте инструменты, такие как npm audit, которые помогут автоматически сканировать зависимости на наличие известных уязвимостей.

5. Для дополнительной безопасности при публикации или установке пакетов на платформе npm включите двухфакторную аутентификацию. Это поможет предотвратить несанкционированный доступ к вашему аккаунту, даже если кто-то получит ваш пароль.

6. Не переходите по подозрительным ссылкам в email-сообщениях или на сторонних веб-сайтах, которые могут перенаправить вас на фальшивые сайты или загрузить вредоносное программное обеспечение.

7. Некоторые инструменты могут помочь фильтровать или блокировать взаимодействие с смарт-контрактами, известными как вредоносные, например, с помощью таких сервисов, как «Etherscan».

8. Запуск приложений и пакетов в изолированных контейнерах (например, Docker) помогает ограничить вредоносное программное обеспечение в пределах контейнера, не давая ему доступа к основной системе.

Заключение

Данная атака представляет собой пример крайне сложного киберпреступного подхода, сочетающего техники тайпсквоттинга, вредоносных npm-пакетов и децентрализованного управления через блокчейн Ethereum. Злоумышленники использовали несколько инновационных методов, чтобы обойти традиционные механизмы безопасности и затруднить обнаружение своей деятельности.

Таким образом, эта атака демонстрирует новый виток криптовалютных мошенничеств, где злоумышленники не только используют блокчейн для скрытия своих следов, но и активно используют смарт-контракты для децентрализованного управления атакой. Эти действия подчеркивают важность более глубокого анализа и мониторинга блокчейн-транзакций, а также применения многоуровневых стратегий защиты как на уровне кода, так и на уровне инфраструктуры.