Se ha descubierto una campaña maliciosa dirigida a los desarrolladores a través de los repositorios de NPM y GitHub, con un método inusual para usar contratos inteligentes de Ethereum para ocultar la infraestructura de comando y control (C2). La campaña salió a la luz por primera vez a principios de julio cuando el investigador de reversiones Karlo Zanki descubrió un paquete llamado «Colortoolsv2» en NPM. El paquete se eliminó rápidamente, pero los atacantes intentaron continuar la operación publicando un paquete duplicado, «Mimelib2». Ambos paquetes implementaron una carga útil de malware en la segunda etapa a través de la infraestructura de blockchain. Lo nuevo en esta campaña, mientras que los descargadores de NPM maliciosos aparecen regularmente, estos generalmente contienen URL o scripts integrados en el paquete en sí. En contraste, Colortoolsv2 y Mimelib2 aprovecharon los contratos inteligentes de Ethereum para almacenar y entregar las URL utilizadas para obtener el malware de la segunda etapa. Esta táctica hizo que la detección fuera significativamente más difícil, ya que la infraestructura maliciosa estaba oculta dentro del código blockchain en lugar de dentro de los archivos de paquete. «Los descargadores son […] Publicado semanalmente, [but] Este uso de contratos inteligentes para cargar comandos maliciosos es algo que no hemos visto anteriormente «, dijeron los investigadores de RL.» Destaca la rápida evolución de las estrategias de evasión de detección de actores maliciosos que están trolleando repositorios y desarrolladores de código abierto «. Lea más sobre el abuso de contrato inteligente en la seguridad cibernética: el ataque de la cadena de suministro utiliza contratos inteligentes para los repositorios de C2 Ops Github disfrazados de las herramientas comerciales ReversingLabs también descubrió que los paquetes de NPM estaban vinculados a una campaña más amplia en una campaña más amplia entre los Repositorios falsos, sin embargo, se presentan a los Repositorios Falsos. Fabricado. reveló la red de cuentas falsas que lo respaldan. Tanto los repositorios de código abierto y la tecnología de blockchain.