Привет, это команда «Шард». Несмотря на то, что смарт-контракты предназначены для безопасных сделок, мошенники могут использовать их и в своих целях. В этой статье расскажем как это работает и что делать для обеспечения собственной безопасности.
Периодически мы проверяем разные виды зараженного программного обеспечения. Так нами был проанализирован менеджер пакетов для программной платформы Node.js, который использует смарт-контракты Ethereum. Команда заметила, что среди мошенников стала популярна техника «тайпсквоттинга»: мошенники регистрируют доменные имена, содержащие опечатки или ошибки, которые по своему написанию схожи с известными или часто используемыми сайтами. Схема аналогична фишинговой атаке. Все, кто ошибся в написании адреса, попадают на поддельный сайт, который с первого взгляда не отличить от настоящего.
Обычно мошенники используют централизованные серверы для контроля над вредоносным программным обеспечением.. Вы можете добавить их в блок, но даже это может не спасти от кибератаки. Мошенники изготавливают поддельные пакеты похожие на полезные инструменты для программистов, но на самом деле последние содержат вирусы. Так, существует пакет «haski», который схож названием с библиотекой для программистов — «husky». Злоумышленники рассчитывают, что вы не увидите ошибку и скачаете оттуда пакет с вирусами.
Вместо привычных каналов передачи команд, которые могут быть легко заблокированы, «вреднос» использовал уникальный метод отправки сообщений через блокчейн Ethereum, который обеспечивает надежность и невозможность блокировки.
Использование технологии блокчейн для управления «вредоносом»:
- Хакеры могут использовать адреса в блокчейн Ethereum для отправки сообщений или инструкций.
- Мошенник шифрует значимую информацию (например, новый адрес, к которому нужно обратиться заразившейся программе), и «шифрует» ее в тексте транзакции в сети Ethereum. Этот процесс напоминает написание секретного сообщения, чтобы только владельцы ключей имели к нему доступ.
- Зараженная программа, установленная на компьютере, контролирует транзакции на таких адресах в поисках нового контакта. Когда она обнаруживает транзакцию, извлекает необходимую информацию, например, данные о новом сервере для подключения.
- Для скрытия указаний мошенники используют шифрование. Таким образом, при просмотре текста транзакции сторонний наблюдатель не сможет понять, что там скрыто. Расшифровать данные и выполнить инструкции сможет лишь зараженная программа.
Процесс кибератаки включает следующие шаги:
- Злоумышленник зашифровывает инструкцию (например, новый адрес сервера) и преобразует ее в последовательность символов, которую можно передавать в текстовом виде через транзакцию на адрес.
- Вредоносное программное обеспечение на зараженном компьютере регулярно мониторит входящие транзакции на указанный адрес в поиске сообщений, в которых содержатся скрытые команды.
- После обнаружения необходимой транзакции, «вредонос» извлекает инструкцию (например, новый сервер для подключения) и выполняет ее.
- В случае изменения сервера злоумышленники просто обновляют информацию в новом адресе, и зараженные устройства автоматически начинают искать новые инструкции.
Почему это сложно обнаружить?
В блокчейне Ethereum нет возможности заблокировать единый центр и поменять назначение переводов. Мошенники пользуются этой отличительной особенностью и скрывают в Ethereum свои схемы. Они не боятся, что их обнаружат и могут с легкостью управлять вашим компьютером через зараженную сеть блокчейна.
Проанализированные адреса
В ходе расследования, команда «Шард» обнаружила примеры адресов таких кибератак. Они применялись в ряде мошеннических схем, связанных с криптовалютами. В это число входит ситуация, когда хакеры вывели средства в криптовалюте ETH на сумму эквивалентную $26 млн:
Как защитить себя
Существует несколько правил при работе с npm и загрузкой ресурсов. Вот некоторые из них:
- Загружайте проверенные пакеты с хорошей репутацией и высоким рейтингом. А прямо перед установкой убедитесь в их достоверности: это можно определить через специальный сервис или по отзывам.
- Обязательно проверьте исходный код пакета npm перед его загрузкой. Желательно удостовериться и в скриптах или запросах к другим серверам.
- Обходите стороной неоконченные версии пакетов: иногда в них есть слабые места, которыми обязательно воспользуются мошенники.
- Проверяйте уязвимости с помощью специальных инструментов, например, npm audit.
- Не забывайте про 2FA в качестве еще одного уровня безопасности при загрузке пакетов npm. Так получить доступ к вашему аккаунту станет труднее даже с паролем.
- Избегайте подозрительных ссылок в различных сообщениях, чтобы не стать жертвой фишинга.
- Пользуйтесь сервисами, которые помогают отсеивать вредоносные смарт-контракты. Одним из примеров такого инструмента является «Etherscan».
- Открывайте пакеты или программы через закрытые контейнеры, например, Docker. Это поможет изолировать зараженное ПО от основной системы.