Hrozba pro vývojářský řetězec: Malware zaměřený na kryptoměnové knihovny

Útok se zaměřuje zejména na knihovny využívané při práci s kryptoměnami a na balíčky jako Puppeteer a Bignum.js. Útočníci zde využívají tzv. typosquattingu, což je metoda, kdy útočníci vytvářejí balíčky s názvy velmi blízkými těm legitimním, a spoléhají na to, že vývojáři si omylem stáhnou jejich verze, pokud udělají drobnou chybu při zadávání názvu. Tyto škodlivé balíčky po instalaci skrývají IP adresy, na které se zařízení následně připojuje, aby stáhlo další fáze malwaru.

Na rozdíl od běžných způsobů maskování IP adres se v tomto případě škodlivý kód napojuje na ethereum smart kontrakt, odkud získává IP adresu, kterou potřebuje ke komunikaci. Smart kontrakty na ethereovém blockchainu přitom fungují jako hlavní síť podporující transakce kryptoměn, a tato hlavní síť (tzv. mainnet) slouží jako nástroj, který útočníkům umožňuje lépe ukrýt zdroj škodlivého kódu.

Zdroj: Shutterstock

Přestože metoda s využitím ethereum smart kontraktů byla navržena tak, aby lépe skryla IP adresu, paradoxně nechává za sebou historii dříve využívaných IP adres. To umožnilo bezpečnostním expertům sledovat, jaké adresy byly v minulosti pro tento typ útoku použity. Tyto údaje odhalily řetězec předchozích IP adres, mezi které patřily například:

o   září 2024: hxxp://localhost:3001

• září 2024: hxxp://45.125.67[.]172:1228
• října 2024: hxxp://45.125.67[.]172:1337
• října 2024: hxxp://193.233[.]201.21:3001
• října 2024: hxxp://194.53.54[.]188:3001

Nebezpečí skryté v paměti zařízení

Phylum také zjistil, že škodlivé balíčky využívají netradiční metody, aby se skryly. Při instalaci se škodlivý kód zavádí do zařízení ve formě balíčku Vercel, který se spustí přímo v paměti zařízení, což znesnadňuje jeho odhalení. Tento kód se automaticky načítá po každém restartu zařízení a připojuje se k IP adrese získané z ethereum smart kontraktu. Jakmile je spojení navázáno, balíček si stahuje další Javascript soubory a odesílá zpět informace o zařízení, na kterém běží. Mezi odesílanými údaji jsou informace o procesoru, grafické kartě, množství paměti, operačním systému a uživatelském jménu, což poskytuje útočníkům široké spektrum dat pro potenciální zneužití.

Doporučení pro vývojáře: Jak se chránit?

Útoky tohoto typu vyžadují, aby vývojáři byli neustále na pozoru. Doporučuje se pečlivě kontrolovat názvy balíčků, které plánují stáhnout, a ujistit se, že odpovídají přesně těm, které potřebují. Typosquatting využívá i drobných překlepů, a proto i malá chyba při zadání názvu balíčku může vést k stažení škodlivého kódu. Phylum na svém blogu zveřejnil seznam názvů balíčků, IP adres a kryptografických hashů, které byly spojeny s tímto útokem, aby vývojáři mohli snadněji identifikovat potenciálně nebezpečné balíčky.

Ačkoli typosquatting není v oblasti kybernetické bezpečnosti nový, jeho čím dál propracovanější verze představují stále větší riziko. Vývojáři by proto měli věnovat zvýšenou pozornost nejen názvům balíčků, ale také zdrojům, ze kterých je stahují.