De nouvelles attaques ciblent la chaîne d’approvisionnement logicielle d’Ethereum
Ethereum est devenu le dernier front pour les attaques sur la chaîne d’approvisionnement logicielle. Des chercheurs de ReversingLabs ont découvert deux packages malveillants NPM utilisant des contrats intelligents Ethereum pour dissimuler un code nuisible, permettant ainsi aux malwares de contourner les vérifications de sécurité traditionnelles, rapporte TopTribune.
NPM, gestionnaire de packages pour l’environnement d’exécution Node.js, est considéré comme le plus grand registre de logiciels au monde, où les développeurs peuvent accéder et partager du code contribuant à des millions de programmes logiciels. Les packages, nommés « colortoolsv2 » et « mimelib2 », ont été téléchargés dans le dépôt largement utilisé du Node Package Manager en juillet. Bien qu’à première vue, ils semblaient être de simples utilitaires, en pratique, ils exploitaient la blockchain Ethereum pour récupérer des URL cachées dirigeant les systèmes compromis vers le téléchargement de malwares de seconde étape.
En intégrant ces commandes dans un contrat intelligent, les attaquants ont réussi à dissimuler leur activité sous forme de trafic blockchain légitime, rendant leur détection plus difficile. « C’est quelque chose que nous n’avons pas vu auparavant », a déclaré la chercheuse de ReversingLabs, Lucija Valentić, dans son rapport. « Cela met en évidence l’évolution rapide des stratégies d’évasion de détection par les acteurs malveillants qui ciblent les dépôts open source et les développeurs. »
Cette technique s’appuie sur un vieux schéma. Par le passé, des attaques ont utilisé des services de confiance comme GitHub Gists, Google Drive ou OneDrive pour héberger des liens malveillants. En tirant parti des contrats intelligents Ethereum, les attaquants ajoutent une touche crypto à une tactique déjà dangereuse de la chaîne d’approvisionnement.
L’incident fait partie d’une campagne plus vaste. ReversingLabs a découvert que ces packages étaient liés à de faux dépôts GitHub se faisant passer pour des bots de trading de cryptomonnaies. Ces dépôts étaient enrichis de commits fabriqués, de faux comptes d’utilisateurs et de comptes étoilés gonflés pour paraître légitimes.
Les développeurs qui ont utilisé ce code risquent d’importer des malwares à leur insu. Les risques de chaîne d’approvisionnement dans les outils open-source liés aux cryptomonnaies ne sont pas nouveaux. L’année dernière, des chercheurs ont signalé plus de 20 campagnes malveillantes ciblant les développeurs par le biais de dépôts tels que npm et PyPI.
Beaucoup visaient à voler des identifiants de portefeuille ou à installer des mineurs de cryptomonnaies. Cependant, l’utilisation des contrats intelligents Ethereum comme mécanisme de livraison démontre que les adversaires s’adaptent rapidement pour s’intégrer dans les écosystèmes blockchain.
Un message important pour les développeurs est que des commits populaires ou des mainteneurs actifs peuvent être falsifiés, et même des packages apparemment innocents peuvent contenir des charges cachées.
