Провідні компанії у сфері кібербезпеки Checkmarx, Phylum та Socket виявили безпрецедентну шкідливу кампанію, яка поєднує методи тайпсквотингу та технологію блокчейну Ethereum для компрометації розробників через репозиторій npm. Особливість атаки полягає у використанні інноваційних методів приховування командної інфраструктури за допомогою смарт-контрактів.
Детальний аналіз кіберзагрози
З 31 жовтня 2024 року зловмисники розмістили понад 287 шкідливих пакетів у репозиторії npm. Атакуючі застосували метод тайпсквотингу, створюючи пакети з назвами, що імітують популярні криптовалютні бібліотеки, включаючи Puppeteer та Bignum.js. Така тактика спрямована на введення в оману розробників, які можуть випадково встановити шкідливі залежності замість легітимних.
Технічні особливості шкідливого коду
Зловмисне програмне забезпечення використовує складну систему обфускації JavaScript-коду, який активується під час встановлення пакету. Шкідливий компонент здійснює збір системної інформації, включаючи специфікації GPU та CPU, обсяг оперативної пам’яті, облікові дані користувача та версію операційної системи. Особливу небезпеку становить можливість віддаленого завантаження додаткових шкідливих модулів.
Використання блокчейну для керування атаками
Інноваційним аспектом кампанії є застосування смарт-контрактів Ethereum для динамічного оновлення адрес командних серверів. За допомогою бібліотеки ethers.js шкідливе ПЗ отримує актуальні адреси C&C-серверів безпосередньо з блокчейну. Такий підхід суттєво ускладнює виявлення та блокування шкідливої інфраструктури традиційними методами захисту.
Аналіз походження та історичні паралелі
Дослідники Socket Threat Research Team виявили в коді повідомлення російською мовою, що може вказувати на російськомовне походження зловмисників. Варто зазначити, що подібна техніка використання смарт-контрактів для приховування шкідливої активності спостерігалася раніше в кампанії EtherHiding 2023 року, де застосовувалися контракти Binance Smart Chain.
Виявлена кампанія демонструє зростаючу тенденцію інтеграції блокчейн-технологій у шкідливе програмне забезпечення, створюючи нові виклики для індустрії кібербезпеки. Фахівцям з розробки програмного забезпечення рекомендується впровадити комплексний підхід до перевірки npm-залежностей, включаючи використання автоматизованих інструментів аналізу безпеки та ретельну верифікацію джерел пакетів перед їх встановленням у виробничі системи.
