Ethereum est devenu le dernier front pour les attaques de chaîne d’approvisionnement logiciels.
Les chercheurs de ReversingLabs plus tôt cette semaine ont découvert deux packages NPM malveillants qui ont utilisé des contrats intelligents Ethereum pour cacher du code nocif, permettant aux logiciels malveillants de contourner les vérifications de sécurité traditionnelles.
NPM est un gestionnaire de packages pour l’environnement d’exécution Node.js et est considéré comme le plus grand registre de logiciels au monde, où les développeurs peuvent accéder et partager du code qui contribue à des millions de logiciels.
Les packages, «Colortoolsv2» et «Mimelib2», ont été téléchargés dans le référentiel de gestionnaire de package de nœuds largement utilisé en juillet. Ils semblaient être des services publics simples à première vue, mais en pratique, ils ont tapé la blockchain d’Ethereum pour récupérer des URL cachées qui dirigeaient des systèmes compromis pour télécharger des logiciels malveillants de deuxième étape.
En intégrant ces commandes dans un contrat intelligent, les attaquants ont déguisé leur activité comme un trafic de blockchain légitime, ce qui rend la détection plus difficile.
« C’est quelque chose que nous n’avons pas vu auparavant », a déclaré la chercheuse inversée Lucija Valentić dans leur rapport. «Il met en évidence l’évolution rapide des stratégies d’évasion de détection par des acteurs malveillants qui traînent des référentiels open source et des développeurs.»
La technique s’appuie sur un vieux livre de jeu. Les attaques passées ont utilisé des services de confiance comme GitHub GIST, Google Drive ou OneDrive pour héberger des liens malveillants. En tirant plutôt parti des contrats intelligents Ethereum, les attaquants ont ajouté une touche aromatisée crypto à une tactique de chaîne d’approvisionnement déjà dangereuse.
L’incident fait partie d’une campagne plus large. RenversingLabs a découvert les forfaits liés aux faux référentiels GitHub qui se faisaient passer pour des robots de trading de crypto-monnaie. Ces références ont été rembourrées avec des commits fabriqués, des comptes d’utilisateurs de faux et des comptes d’étoiles gonflés pour paraître légitimes.
Les développeurs qui ont tiré le code ont risqué d’importer des logiciels malveillants sans en être conscients.
Les risques de chaîne d’approvisionnement dans les outils de crypto open source ne sont pas nouveaux. L’année dernière, les chercheurs ont signalé plus de 20 campagnes malveillantes ciblant les développeurs à travers des référentiels tels que NPM et PYPI.
Beaucoup visaient à voler des références de portefeuille ou à installer des mineurs de cryptographie. Mais l’utilisation des contrats intelligents Ethereum comme mécanisme de livraison montre que les adversaires s’adaptent rapidement pour se mélanger dans les écosystèmes de blockchain.
Un point à retenir pour les développeurs est que les commits populaires ou les mainteneurs actifs peuvent être tracés, et même des forfaits apparemment inoffensifs peuvent transporter des charges utiles cachées.