Hackers escondem malware em contratos Ethereum para evadir detecção
Os ataques à cadeia de suprimentos de software estão evoluindo de maneira preocupante, enquanto cibercriminosos usam contratos inteligentes Ethereum para esconder código malicioso dentro de bibliotecas de código aberto. Pesquisa apresentada por uma empresa de segurança, ReversingLabs, mostra que hackers agora inserem instruções de comando e controle dentro de contratos blockchain, complicando a detecção e o encerramento pelos defensores. Essa abordagem significa o aumento da complexidade da distribuição de malware e o blockchain tornando-se uma ferramenta do cibercrime.
Em resumo
- Atacantes agora usam contratos inteligentes Ethereum para esconder malware em bibliotecas de código aberto.
- Pacotes maliciosos npm recuperam cargas úteis via blockchain, contornando defesas tradicionais.
- Repositórios falsos no GitHub ampliam ataques, rotacionando dependências para espalhar infecções amplamente.
Como o ataque funcionou
A campanha teve como alvo principal o Node Package Manager (npm), uma plataforma que hospeda milhões de pacotes JavaScript. Dois pacotes suspeitos, “colortoolsv2” e “mimelib2,” surgiram em julho e serviram como portadores do código malicioso.
Em vez de incorporar links diretamente dentro do pacote, o malware executava scripts ofuscados que consultavam contratos Ethereum para recuperar o local da carga útil. Consequentemente, esse método complicava os sistemas tradicionais de detecção que geralmente sinalizam domínios maliciosos codificados.
Uma vez que o script acessava o contrato inteligente, ele direcionava o pacote infectado a baixar um componente secundário de malware. Esse design permitia que os atacantes mantivessem flexibilidade, mudando os locais da carga útil no blockchain, sem alterar o próprio pacote npm.
Além disso, a campanha usava repositórios temáticos de criptomoedas no GitHub, recheados de estrelas falsas e commits gerados para parecer legítimo, atraindo desenvolvedores desavisados a integrar os pacotes.
Campanha maior através de plataformas Open-Source
Pesquisadores da ReversingLabs descobriram que os pacotes maliciosos npm faziam parte de uma campanha mais ampla que se estendia a projetos no GitHub. Repositórios falsos como “solana-trading-bot-v2” tentavam estabelecer credibilidade através de commits automatizados e atividade comunitária encenada. Por trás da fachada, os atacantes rotacionavam silenciosamente dependências maliciosas sob diferentes nomes, espalhando a infecção por vários projetos.
Além disso, esse ataque seguiu incidentes anteriores sinalizados por empresas de segurança, onde npm e GitHub foram explorados para empurrar bots de negociação fraudulentos e utilitários para criptomoedas. Portanto, a campanha mais recente marca uma evolução preocupante, mostrando que atores de ameaças não estão apenas abusando da confiança de código aberto, mas também integrando tecnologia blockchain em suas cadeias de ataque.
Maximize sua experiência na Cointribune com nosso programa "Read to Earn"! Para cada artigo que você lê, ganhe pontos e acesse recompensas exclusivas. Inscreva-se agora e comece a acumular vantagens.
Peter is a skilled finance and crypto journalist who simplifies complex topics through clear writing, thorough research, and sharp industry insight, delivering reader-friendly content for today’s fast-moving digital world.
As opiniões e declarações expressas neste artigo são de responsabilidade exclusiva do autor e não devem ser consideradas como recomendações de investimento. Faça sua própria pesquisa antes de tomar qualquer decisão de investimento.