هکرها از قراردادهای هوشمند اتریوم برای توزیع بدافزارهای مخرب و سرقت اطلاعات در فضای رمزارزها

محققان شرکت ریورسینگ‌لبز (ReversingLabs) هشدار دادند که هکرها از قراردادهای هوشمند اتریوم (Ethereum) برای توزیع نرم‌افزارهای مخرب و کدهای آسیب‌رسان بهره‌برداری می‌کنند. این روش نوین امکان عبور از سامانه‌های سنتی شناسایی و اسکن امنیتی را فراهم می‌کند و تهدیدات جدی‌تری را برای اکوسیستم‌های نرم‌افزاری به وجود آورده است.

بر اساس یافته‌های این تیم تحقیقاتی، نوع جدیدی از بدافزار متن‌باز در مخزن‌های نود پکیج منیجر (NPM) شناسایی شده است. این بدافزار در قالب دو بسته با نام‌های colortoolsv2 و mimelib2 ظاهر می‌شود و از قراردادهای هوشمند اتریوم برای بارگذاری دستورات مخرب از راه دور و نصب نرم‌افزارهای دانلودکننده بر روی سیستم‌های قربانی استفاده می‌کند.

این بسته‌ها در ابتدا به عنوان ابزارهای ساده دانلود ظاهر می‌شوند، اما در پس‌زمینه با استعلام از بلاک‌چین، URLهای مخرب را دریافت می‌کنند. پس از آن، این لینک‌ها به سرورهای کنترل و فرمان مهاجمان متصل می‌شوند و payloadهای مرحله دوم را تحویل می‌دهند. این payloadها معمولاً برای سرقت اطلاعات حساس، نصب ابزارهای دسترسی از راه دور یا ایجاد درهای ورودی برای حملات بزرگ‌تر طراحی شده‌اند.

محققان معتقدند این حملات بخشی از کمپین گسترده‌تری است که هدف آن اکوسیستم‌های متن‌باز مانند npm و گیت‌هاب (GitHub) است. مهاجمان از تکنیک‌های مهندسی اجتماعی و ساخت پروژه‌های فریبنده برای فریب توسعه‌دهندگان و وارد کردن کدهای مخرب به برنامه‌های واقعی بهره می‌برند.

حملات زیرساختی در حال تحول هستند

تهدیدهای سایبری همواره از روش‌های زیرساختی و سطح عمیق‌تر بهره می‌برند که تشخیص آن‌ها دشوارتر است. در گزارش جداگانه‌ای که اوایل امسال توسط شرکت ریورسینگ لبز (ReversingLabs) منتشر شد، نمونه‌ای از یک بسته npm مخرب فاش شد که سیستم‌ها را بررسی می‌کرد تا کیف‌پول‌های نصب‌شده مانند اتمیک (Atomic) و اکسودوس (Exodus) را شناسایی و سپس تراکنش‌ها را به آدرس‌های کنترل‌شده توسط مهاجمان هدایت می‌کرد.

در همین حال، گروه هکری معروف کره شمالی، لیزارس (Lazarus)، در اوایل سال جاری اقدام به انتشار بسته‌های npm مخرب خود کرده است. این گروه در حملات اخیر از این بسته‌ها برای نفوذ و سرقت اطلاعات بهره برده است.

همچنین، شرکت امنیت سایبری اسلومیست (Slowmist) در سال ۲۰۲۴ گزارشی درباره یک کلاهبرداری مبتنی بر سوءاستفاده از RPC (remote procedure call) در شبکه اتریوم منتشر کرد که هدف آن فریب کاربران والت‌های imToken بود. در این حمله، هکرها با بهره‌گیری از کدهای مخرب، کاربران را به سمت سایت‌های فیشینگ هدایت می‌کردند.

اما نکته قابل توجه در این حمله جدید، تفاوت آن با سایر روش‌های نفوذ قبلی است؛ چرا که این حمله از طریق قراردادهای هوشمند اتریوم (ethereum smart contracts) انجام می‌شود که میزبان URLهای حاوی دستورات مخرب هستند، امری که در گزارش ریورسینگ لبز به آن اشاره شده است.

این شرکت امنیتی از توسعه‌دهندگان خواست تا در هنگام تعامل با کتابخانه‌های npm و بسته‌های شخص ثالث، بسیار محتاط باشند و اقدامات امنیتی لازم را رعایت کنند.

بر اساس تحلیل‌های تخصصی، توسعه‌دهندگان باید هر کتابخانه نرم‌افزاری را به دقت ارزیابی کنند. این فرآیند شامل بررسی جزئیات هر بسته منبع‌باز و فرد یا تیم نگهداری آن است. صرفاً تکیه بر آمارهای کلی مانند تعداد نگهدارندگان، commitها و تعداد دانلودها کافی نیست؛ بلکه باید عمق بیشتری در شناخت صحت و اعتبار پروژه‌ها و توسعه‌دهندگان آن‌ها صورت گیرد. این رویکرد، اهمیت شفاف‌سازی و اعتبارسنجی در فضای توسعه و به‌روزرسانی‌های نرم‌افزاری را نشان می‌دهد و نقش مهمی در تضمین امنیت و کیفیت پروژه‌های متن‌باز ایفا می‌کند.

منبع: کریپتو.نیوز