Специалисты по кибербезопасности выявили npm Typosquat атаку, которая использует смарт-контракты блокчейна Эфириум для распространения кроссплатформенного вредоноса.
Согласно независимым исследованиям Checkmarx, Phylum и Socket, опубликованным за последние несколько дней, атака отличается тем, что использует смарт-контракты Ethereum для распространения адресов командно-контрольных (C2) серверов.
Впервые эта активность была замечена 31 октября 2024 года, хотя, как утверждается, подобная проблема имела место в октябре 2023 года, когда для распространения вредоноса использовалась сеть Binance Smart Chain.
"Когда кампания начала разворачиваться всерьез, стало ясно, что злоумышленник находится на ранней стадии атаки, направленной на разработчиков, собирающихся использовать популярные библиотеки Puppeteer, Bignum.js и различные криптовалюты", — говорится в сообщении Phylum.
Пакеты содержат вредоносный JavaScript, который выполняется во время (или после) процесса установки, что в конечном итоге приводит к получению доступа к конфиденциальной информации на зараженной машине и удаленного запуска на ней кроплатформенного вредоносного ПО.
Настоящей проблемой в обнаруженной атаке является то, что код JavaScript взаимодействует со смарт-контрактом Ethereum, используя библиотеку ethers.js для получения IP-адреса. Используя блокчейн, злоумышленники получают два ключевых преимущества: их инфраструктуру практически невозможно уничтожить из-за неизменного характера блокчейна, а децентрализованная архитектура делает блокировку распространения этой атаки чрезвычайно сложной.
Npm typosquatting — процесс, при котором разработчик загружает пакет с именем, похожим на имя очень популярного пакета, с целью перехватить часть его установок.
C2-сервер — термин, используемый в кибербезопасности, который обозначает командно-контрольный сервер. На C2-сервере обычно находится управляющее ПО, которое позволяет злоумышленнику удаленно контролировать и управлять компьютером жертвы, получать доступ к конфиденциальной информации и проводить другие атаки.
"Русский след"?
В настоящее время неясно, кто стоит за этой вредоносной кампанией, хотя команда Socket Threat Research Team заявила, что обнаружила в логах сообщения об ошибках, написанные на русском языке.
Это, конечно, очень смешно. Что более очевидно: хакер, который написал и развернул вредоносную инфраструктуру с использование блокчейна, но для удобства сделавший для себя ведение журнала на русском (английский не понимает, да?) или хакер, который решил запутать всех и оставить "хлебные кроши", отводящие от него подозрения на русских (обвинением меньше, обвинением больше — ерунда, переживут)?
Вброс про русский след мог бы быть хорошим, вот только обставлен безыскусно и топорно.