Специалисты по кибербезопасности из компаний Checkmarx, Phylum и Socket выявили новую изощренную вредоносную кампанию, нацеленную на разработчиков через репозиторий npm. Злоумышленники применяют комбинацию тайпсквоттинга и смарт-контрактов Ethereum для распространения вредоносного ПО и сокрытия инфраструктуры управления.
Масштаб и механика атаки
Кампания стартовала 31 октября 2024 года, в ходе которой было размещено более 287 вредоносных пакетов в npm. Атакующие использовали тайпсквоттинг — создание пакетов с названиями, похожими на популярные криптовалютные библиотеки, Puppeteer и Bignum.js, чтобы обмануть разработчиков.
Техническая реализация вредоносного кода
Вредоносные пакеты содержат обфусцированный JavaScript-код, который активируется при установке. Код загружает вредоносный бинарный файл с удаленного сервера, который собирает конфиденциальную информацию о системе, включая характеристики GPU, CPU, объем памяти, имя пользователя и версию операционной системы.
Инновационное использование блокчейна
Ключевой особенностью кампании является применение смарт-контрактов Ethereum для получения IP-адресов командных серверов. Используя библиотеку ethers.js, вредоносное ПО взаимодействует с блокчейном для получения актуальных адресов управляющих серверов. Такой подход значительно усложняет блокировку вредоносной инфраструктуры, так как адреса серверов могут динамически обновляться.
Атрибуция и исторические параллели
Socket Threat Research Team обнаружила в коде сообщения об ошибках на русском языке, что может указывать на русскоговорящих злоумышленников. Примечательно, что подобная тактика использования смарт-контрактов для сокрытия вредоносного кода уже применялась в 2023 году в кампании EtherHiding, где использовались контракты Binance Smart Chain.
Данная кампания демонстрирует растущую тенденцию использования блокчейн-технологий в вредоносном ПО, что создает новые вызовы для специалистов по кибербезопасности. Разработчикам рекомендуется тщательно проверять источники устанавливаемых пакетов и использовать инструменты автоматизированного анализа безопасности при работе с npm-зависимостями.
