A empresa de segurança de software ReversingLabs identificou dois pacotes de código aberto que usam contratos inteligentes da Ethereum para baixar malware. Faz parte de uma "campanha sofisticada" de agentes maliciosos que tentam hackear usuários por meio de bibliotecas de código público relacionadas à blockchain envenenadas — um vetor de ataque que a Binance já havia associado a hackers norte-coreanos.
As duas bibliotecas, ou pacotes, do Node Package Manager (NPM), chamadas colortoolsv2 e mimelib2 , eram praticamente idênticas, pois continham dois arquivos, um dos quais executaria um script que baixava a segunda metade do ataque de malware por meio de um contrato inteligente Ethereum . Os pacotes NPM são coleções de código aberto e reutilizável que os desenvolvedores usam com frequência.
Lucija Valentić, pesquisadora de ameaças de software na ReversingLabs, escreveu que o uso de contratos inteligentes era “algo que nunca tínhamos visto antes”.
“'Downloaders' que recuperam malware em estágio avançado estão sendo publicados no repositório npm semanalmente — se não diariamente”, disse ela. “A novidade e a diferença são o uso de contratos inteligentes da Ethereum para hospedar as URLs onde os comandos maliciosos estão localizados, baixando o malware em segundo estágio.”
Esses dois pacotes foram apenas a ponta do iceberg, já que a ReversingLabs encontrou uma campanha maior de pacotes envenenados no GitHub. A empresa de segurança descobriu uma rede de repositórios do GitHub conectados ao pacote malicioso colortoolsv2 mencionado anteriormente. A maior parte da rede era rotulada como bots de negociação de criptomoedas ou ferramentas de sniping de tokens.
“Embora o pacote NPM não fosse muito sofisticado, houve muito mais trabalho para fazer com que os repositórios que continham o pacote malicioso parecessem confiáveis”, disse Valentić.
Ela explicou no relatório que alguns repositórios tinham milhares de commits, um bom número de estrelas e alguns colaboradores, o que poderia levar um desenvolvedor a confiar neles. Mas a ReversingLabs acredita que a maior parte dessa atividade foi falsificada pelos invasores.
“É especialmente perigoso porque os programadores não imaginariam que seria um problema ao usar bases de código mantidas publicamente”, disse 0xToolman, um detetive on-chain pseudônimo da Bubblemaps , ao Decrypt . “Pode ser a suposição de que código aberto é igual a monitoramento público, igual a segurança. Pode ser simplesmente que alguém não consiga verificar todo o código que está usando, já que não foi ele quem o escreveu, e levaria muito tempo para fazer isso.”
Binance vincula o envenenamento do NPM à RPDC
A grande exchange centralizada Binance disse ao Decrypt no mês passado que estava ciente de tais ataques e, como resultado, obriga os funcionários a analisarem as bibliotecas do NPM com cuidado.
O diretor de segurança da Binance, Jimmy Su, explicou que o envenenamento de pacotes é um vetor crescente de ataque para hackers norte-coreanos, que ele identificou como a maior ameaça às empresas de criptomoedas.
“O maior vetor atualmente contra a indústria de criptomoedas são os agentes estatais, particularmente na RPDC, [com] o Lazarus”, disse Su ao Decrypt em agosto. “Eles têm se concentrado em criptomoedas nos últimos dois ou três anos e têm tido bastante sucesso em seus esforços.”
Acredita-se que hackers norte-coreanos tenham sido responsáveis por 61% de todas as criptomoedas roubadas em 2024 , revelou um relatório da Chainalysis , totalizando US$ 1,3 bilhão. Desde então, o FBI atribuiu aos invasores norte-coreanos o roubo de US$ 1,4 bilhão na Bybit , o maior roubo de criptomoedas de todos os tempos.
Embora o principal vetor de ataque apontado por Su seja por meio de funcionários falsos, o envenenamento de pacotes do NPM está em segundo lugar, ao lado de golpes com entrevistas falsas. Assim, as principais exchanges de criptomoedas compartilham informações por meio de grupos no Telegram e no Signal para que possam destacar bibliotecas contaminadas.
“Estamos nessa aliança principalmente na linha de frente, para os socorristas, quando [há] invasões ou [precisamos] de resposta a incidentes. Estamos sempre nesse grupo, assim como acontece com outras exchanges, como Coinbase e Kraken”, explicou Su. “Estamos em aliança com essas exchanges há anos. Há outras mais formais sendo formadas hoje, mas em termos de operação na linha de frente, já fazemos isso há anos.”
Fonte: Decrypt
Isenção de responsabilidade. A Universidade do Bitcoin não endossa nenhum conteúdo nesta página. Embora tenhamos como objetivo fornecer a você informações importantes do mundo das criptomoedas, os leitores devem fazer sua própria pesquisa e análise antes de tomar quaisquer decisões e assumir total responsabilidade por elas, nem este artigo pode ser considerado como um conselho de investimento.
