Resumo: Ataques de cadeia de suprimentos em cripto evoluem, com invasores usando contratos inteligentes do Ethereum para ocultar malware e contornar defesas, sinalizando um aumento das técnicas de evasão.
O Ethereum tornou-se o mais recente alvo de ataques à cadeia de suprimentos de software.
Pesquisadores da ReversingLabs, no início desta semana, descobriram dois pacotes NPM maliciosos que usaram contratos inteligentes do Ethereum para ocultar código nocivo, permitindo que o malware contornasse verificações de segurança tradicionais.
O NPM é um gerenciador de pacotes para o ambiente de runtime Node.js e é considerado o maior registro de software do mundo, onde desenvolvedores podem acessar e compartilhar código que contribui para milhões de programas de software.
Os pacotes, “colortoolsv2” e “mimelib2,” foram carregados no repositório amplamente utilizado do Node Package Manager em julho. Pareciam utilitários simples à primeira vista, mas, na prática, utilizavam a blockchain do Ethereum para buscar URLs ocultas que direcionavam sistemas comprometidos a baixar malware de segunda etapa.
Ao embutir esses comandos em um contrato inteligente, os invasores disfarçaram suas atividades como tráfego legítimo da blockchain, tornando a detecção mais difícil.
“Isso é algo que não vimos anteriormente,” disse a pesquisadora da ReversingLabs, Lucija Valentić, em seu relatório. “Isso destaca a rápida evolução das estratégias de evasão de detecção por atores maliciosos que vasculham repositórios de código aberto e desenvolvedores.”
A técnica baseia-se em um roteiro antigo. Ataques passados usaram serviços confiáveis como GitHub Gists, Google Drive ou OneDrive para hospedar links maliciosos. Ao usar contratos inteligentes do Ethereum em vez disso, os atacantes adicionaram um toque cripto a uma tática de cadeia de suprimentos já perigosa.
O incidente faz parte de uma campanha maior. A ReversingLabs identificou pacotes vinculados a repositórios falsos do GitHub que se passavam por bots de negociação de criptomoedas. Esses repositórios eram recheados com commits fabricados, contas de usuário falsas e contagens de estrelas infladas para parecerem legítimos.
Desenvolvedores que baixaram o código corriam o risco de importar malware sem perceber.
Riscos de cadeia de suprimentos em ferramentas de cripto de código aberto não são novos. No ano passado, pesquisadores apontaram mais de 20 campanhas maliciosas mirando desenvolvedores por meio de repositórios como npm e PyPI.
Muitos tinham como alvo furtar credenciais de carteiras ou instalar mineradores de cripto. Mas o uso de contratos inteligentes do Ethereum como mecanismo de entrega mostra que os adversários estão se adaptando rapidamente para se camuflar nos ecossistemas de blockchain.
Uma lição para os desenvolvedores é que commits populares ou mantenedores ativos podem ser falsificados, e mesmo pacotes aparentemente inofensivos podem carregar payloads ocultos.
