Kötü Amaçlı Yazılımı Dağıtmak İçin Ethereum Akıllı Sözleşmelerini Kullanan Yeni Bir Siber Tehdit Keşfedildi

Siber güvenlik araştırmacıları, 2024 yılında açık kaynak depolarına yönelik artan bir saldırı dalgasının parçası olarak, kötü amaçlı yazılımları dağıtmak için Ethereum akıllı sözleşmelerini kullanan yeni bir yöntem keşfetti. ReversingLabs adlı bir dijital varlık uyumluluk firması, Ethereum'un blok zinciri içinde gizli komutlar barındıran iki kötü amaçlı NPM paketini ortaya çıkardı. Bu teknik, saldırganların kötü amaçlı URL'leri blok zinciri etkileşimleri olarak gizleyerek geleneksel güvenlik taramalarını aşmasını sağladı.

Keşif, saldırganların açık kaynak depolarını nasıl saldırı yüzeyleri olarak uyarladığını gösteriyor. Temmuz ayında yüklenen "colortoolsv2" ve "mimelib2" adlı NPM paketleri, indirici olarak görev yaptı. Zararlı bağlantıları doğrudan barındırmak yerine, Ethereum akıllı sözleşmelerinde saklanan komut ve kontrol adreslerini çekti. Bir cihaza yüklendikten sonra, paketler gizli URL'leri almak için blok zinciriyle iletişime geçti. Bu adresler daha sonra sistemi ikinci aşama kötü amaçlı yazılımı indirmeye yönlendirdi. Ek yük, istenen kötü amaçlı etkinliği gerçekleştirdi. Trafik meşru blok zinciri sorguları gibi göründüğünden, geleneksel izleme araçları için tespit daha zor hale geldi.

ReversingLabs araştırmacısı Lucija Valentić, yaklaşımı bir blog yazısında açıkladı. Blok zinciri bağlantılı kötü amaçlı yazılımların daha önce ortaya çıkmasına rağmen, bu özel yöntemin yeni bir kaçırma stratejisi sunduğunu belirtti. Kötü amaçlı talimatları akıllı sözleşmelerde barındırmak, saldırganların operasyonlarını Ethereum'un merkezi olmayan ortamında gizlemesini sağladı.

Kötü amaçlı yazılım paketleri, daha büyük bir sosyal mühendislik çabasının parçasıydı. Tehdit aktörleri, meşru kripto para alım satım botlarına benzemesi için tasarlanmış ikna edici GitHub depoları oluşturdu. Bu depolar, sahte taahhütler, çoklu sahte bakımcı hesapları ve otantik görünmek için özenle yazılmış belgeler içeriyordu. Araştırmacılar ayrıca, depoları takip etmek ve topluluk ilgisini simüle etmek için sahte kullanıcı hesapları oluşturulduğunu belirtti. Bu adımlar, depoların itibarını artırdı ve geliştiricileri tehlikeye atılmış kodu indirmeleri için kandırdı.

Güvenlik ekipleri, yalnızca 2024'te açık kaynak depolarında en az 23 kripto ile ilgili kötü amaçlı yazılım kampanyası kaydetti. ReversingLabs'e göre, bu son kampanya taktiklerde bir evrimi gösterdi. Blok zinciri işlevselliğini aldatma stratejileriyle birleştirmek, savunucular için yeni zorluklar ortaya koydu. Ethereum, son raporun odağı olmasına rağmen, diğer platformlar da benzer şekillerde istismar edildi. Nisan ayında, bir Solana alım satım botu gibi görünen sahte bir GitHub deposu, kripto cüzdan kimlik bilgilerini çalan kötü amaçlı yazılım dağıttı. Saldırganlar ayrıca, geliştirme ortamlarını tehlikeye atmak için kötü amaçlı kod gömerek "Bitcoinlib" gibi Bitcoin ile ilgili kütüphaneleri de hedef aldı.

Ethereum akıllı sözleşmelerinin kötü amaçlı komutları barındırmak için kullanılması, mevcut tehditlerin karmaşıklığının altını çiziyor. ReversingLabs, bu durumda akıllı sözleşmelerin güvenlik açıkları için istismar edilmediğini, kasıtlı olarak URL'leri depolamak ve dağıtmak için kullanıldığını vurguladı. Bu yöntem, anında tespit edilmekten kaçınırken kötü amaçlı yazılım dağıtımı için dolaylı bir kanal oluşturdu.