أصبحت Ethereum أحدث واجهة لهجمات سلسلة التوريد البرمجيات.
اكتشف الباحثون في ResperingLabs في وقت سابق من هذا الأسبوع حزمتين NPM الضارين الذين استخدموا العقود الذكية Ethereum لإخفاء التعليمات البرمجية الضارة ، مما يسمح للبرامج الضارة بتجاوز الشيكات الأمنية التقليدية.
NPM هو مدير حزم لـ Runtime Environment Node.js ويعتبر أكبر سجل للبرامج في العالم ، حيث يمكن للمطورين الوصول إلى الكود ومشاركته يساهم في ملايين البرامج.
تم تحميل الحزم ، “colortoolsv2” و “mimelib2” ، على مستودع مدير حزم العقدة المستخدم على نطاق واسع في يوليو. يبدو أنها أدوات مساعدة بسيطة للوهلة الأولى ، ولكن في الممارسة العملية ، قاموا بتنشيط blockchain من Ethereum لجلب عناوين URL المخفية التي وجهت الأنظمة المدمرة لتنزيل البرامج الضارة في المرحلة الثانية.
من خلال تضمين هذه الأوامر ضمن عقد ذكي ، قام المهاجمون بالتنكر في نشاطهم باعتباره حركة مرور blockchain شرعية ، مما يجعل الكشف أكثر صعوبة.
“هذا شيء لم نره سابقًا” ، قالت باحثة ResperingLabs Lucija Valentić في تقريرهم. “إنه يسلط الضوء على التطور السريع لاستراتيجيات التهرب من الكشف من قبل الجهات الفاعلة الخبيثة الذين يتجولون في مستودعات ومطورين المصادر المفتوحة.”
تعتمد هذه التقنية على كتاب اللعب القديم. استخدمت الهجمات السابقة خدمات موثوقة مثل Github Gists أو Google Drive أو OneDrive لاستضافة الروابط الخبيثة. من خلال الاستفادة من العقود الذكية Ethereum بدلاً من ذلك ، أضاف المهاجمون تطورًا بنكهة التشفير إلى تكتيك سلسلة التوريد الخطير بالفعل.
الحادث جزء من حملة أوسع. اكتشف ResversingLabs الحزم المرتبطة بمستودعات GitHub المزيفة التي وضعت كروبوتات تداول العملة المشفرة. كانت هذه الإعادة مبطنة مبطنة بالالتزامات ملفقة ، وحسابات المستخدمين الزائدين ، وعدادات النجوم المتضخمة لتبدو شرعية.
المخاطرة للمطورين الذين سحبوا الرمز يخاطرون باستيراد البرامج الضارة دون إدراكها.
مخاطر سلسلة التوريد في أدوات التشفير مفتوحة المصدر ليست جديدة. في العام الماضي ، قام الباحثون بالإبلاغ عن أكثر من 20 حملة ضارة تستهدف المطورين من خلال مستودعات مثل NPM و PYPI.
كان كثيرون يهدفون إلى سرقة بيانات اعتماد المحفظة أو تثبيت عمال المناجم التشفير. لكن استخدام العقود الذكية Ethereum كآلية تسليم يوضح أن الخلافات تتكيف بسرعة لمزج النظم الإيكولوجية blockchain.
تتمثل الوجبات الجاهزة للمطورين في أن الالتزامات الشعبية أو المشرفين النشطين يمكن أن تكون مزيفة ، وحتى الحزم غير الضارة على ما يبدو قد تحمل حمولات خفية.