Ethereum sözleşmelerine gizlenen siber saldırı yöntemi keşfedildi

Saldırganlar, Ethereum akıllı sözleşmeleri aracılığıyla kötü amaçlı komutları gizleyerek GitHub ve NPM üzerindeki sahte projelerle geliştiricileri hedef alıyor.

Tehdit aktörleri, kod deposu saldırıları geliştikçe güvenlik taramalarından kaçmak için Ethereum akıllı sözleşmelerine kötü amaçlı yazılım, komut ve bağlantılar yerleştirmenin yeni bir yolunu buldu.

Dijital varlık uyumluluk firması ReversingLabs’taki siber güvenlik araştırmacıları, JavaScript paketleri ve kütüphanelerinin büyük bir koleksiyonu olan Node Package Manager (NPM) paket deposunda keşfedilen yeni açık kaynaklı kötü amaçlı yazılımlar buldu.

ReversingLabs araştırmacısı Lucija Valentić, çarşamba günü yayımlanan bir blog yazısında, “Kötü amaçlı yazılım paketleri, tehlikeye atılan cihazlara kötü amaçlı yazılım yüklemek için yeni ve yaratıcı bir teknik kullanıyor. Ethereum blockchain’i için akıllı sözleşmeler,” dedi.

Temmuz ayında yayımlanan “colortoolsv2” ve “mimelib2” adlı iki paket, “tehlikeye atılmış sistemlere indirici kötü amaçlı yazılım yükleyen kötü niyetli komutları gizlemek için akıllı sözleşmeleri kötüye kullandı,” diye açıkladı Valentić.

Güvenlik taramalarından kaçınmak için paketler basit indiriciler olarak işlev gördü ve doğrudan kötü amaçlı bağlantıları barındırmak yerine komuta ve kontrol sunucusu adreslerini akıllı sözleşmelerden aldı.

Yüklendiğinde paketler, ikinci aşama kötü amaçlı yazılımı indirmek için URL’leri almak amacıyla blockchain’i sorguluyordu. Bu ikinci aşama kötü amaçlı yazılım, yükü veya eylemi taşıyordu ve blockchain trafiği meşru göründüğü için tespit edilmesi daha zor hale geliyordu.

GitHub’daki NPM paketleri ‘colortoolsv2’ ve ‘mimelib2’. Kaynak: ReversingLabs

Yeni bir saldırı vektörü

Ethereum akıllı sözleşmelerini hedef alan kötü amaçlı yazılımlar yeni değil; bu yöntem yılın başlarında Kuzey Kore bağlantılı Lazarus Grubu tarafından kullanılmıştı.

Valentić, “Yeni ve farklı olan şey, kötü amaçlı komutların bulunduğu URL’leri barındırmak için Ethereum akıllı sözleşmelerinin kullanılması ve ikinci aşama kötü amaçlı yazılımın indirilmesi,” dedi ve ekledi:

“Bu, daha önce görmediğimiz bir şey ve açık kaynak depolarını ve geliştiricileri hedef alan kötü niyetli aktörlerin tespit atlatma stratejilerindeki hızlı evrimi ortaya koyuyor.”

Ayrıntılı bir kripto aldatma kampanyası

Kötü amaçlı yazılım paketleri, esas olarak GitHub üzerinden yürütülen daha büyük, ayrıntılı bir sosyal mühendislik ve aldatma kampanyasının parçasıydı.

Tehdit aktörleri, sahte kripto para ticaret botu depoları oluşturdu. Bunlar, sahte commit’ler, depoları izlemek için özel olarak oluşturulmuş sahte kullanıcı hesapları, aktif geliştirmeyi simüle etmek için çok sayıda bakımcı hesabı ve profesyonel görünümlü proje açıklamaları ve belgeler yoluyla son derece güvenilir görünecek şekilde tasarlanmıştı.

Tehdit aktörleri evriliyor

2024’te güvenlik araştırmacıları açık kaynak depolarında kripto ile ilgili 23 kötü amaçlı kampanya belgeledi, ancak bu son saldırı vektörü “depolara yönelik saldırıların evrildiğini” gösteriyor. Valentić, blockchain teknolojisini ayrıntılı sosyal mühendislik ile birleştirerek geleneksel tespit yöntemlerini atlatmayı amaçladığını belirtti.

Bu saldırılar yalnızca Ethereum üzerinde gerçekleştirilmiyor. nisan ayında, Solana ticaret botu gibi görünen sahte bir GitHub deposu, kripto cüzdan kimlik bilgilerini çalan gizlenmiş kötü amaçlı yazılım dağıtmak için kullanıldı. Hacker’lar ayrıca Bitcoin geliştirmeyi kolaylaştırmak için tasarlanmış açık kaynaklı bir Python kütüphanesi olan “Bitcoinlib”i de hedef aldı.