Hackers Usan Contratos Inteligentes de Ethereum para Enviar Malware: Reporte

La empresa de seguridad de software ReversingLabs ha identificado dos paquetes de código abierto que utilizan contratos inteligentes de Ethereum para descargar malware. Esto forma parte de una "campaña sofisticada" de actores maliciosos que intentan hackear a los usuarios a través de bibliotecas de código público relacionadas con blockchain envenenadas—un vector de ataque que Binance ha vinculado previamente con hackers norcoreanos.

Las dos bibliotecas del Node Package Manager (NPM), o paquetes, llamados colortoolsv2 y mimelib2, eran efectivamente idénticos en que contenían dos archivos, uno de los cuales ejecutaría un script que descarga la segunda mitad del ataque de malware a través de un contrato inteligente de Ethereum. Los paquetes NPM son colecciones de código abierto reutilizable que los desarrolladores utilizan con frecuencia.

Lucija Valentić, investigadora de amenazas de software en ReversingLabs, escribió que el uso de contratos inteligentes era "algo que no habíamos visto anteriormente."

"Los 'descargadores' que recuperan malware de etapas tardías se están publicando en el repositorio npm semanalmente, si no diariamente", señaló. "Lo que es nuevo y diferente es el uso de contratos inteligentes de Ethereum para alojar las URLs donde se encuentran los comandos maliciosos, descargando el malware de segunda etapa."

Estos dos paquetes eran solo la punta del iceberg, ya que ReversingLabs encontró una campaña más amplia de paquetes envenenados en GitHub. La empresa de seguridad descubrió una red de repositorios de GitHub que estaban conectados al paquete malicioso mencionado colortoolsv2. La mayoría de la red se presentaba como bots de trading de criptomonedas o herramientas de sniping de tokens.

"Aunque el paquete NPM no era muy sofisticado, se puso mucho más trabajo en hacer que los repositorios que contenían el paquete malicioso parecieran confiables", afirmó Valentić.

Explicó en el informe que algunos repositorios tenían miles de commits, una buena cantidad de estrellas y un par de colaboradores, lo que podría llevar a un desarrollador a confiar en él. Sin embargo, ReversingLabs cree que la mayoría de esta actividad fue falsificada por los atacantes.

"Es especialmente peligroso porque los programadores no pensarían que sería un problema cuando usan bases de código mantenidas públicamente", dijo a Decrypt 0xToolman, un investigador on-chain mejor conocido como de Bubblemaps. "Podría ser la suposición de que código abierto equivale a monitoreo público equivale a seguridad. Podría ser simplemente que uno no puede verificar cada código que está usando ya que no lo escribió, y tomaría mucho tiempo hacerlo."

Binance vincula el envenenamiento NPM con Corea del Norte

El exchange centralizado Binance le dijo a *Decrypt* el mes pasado que estaba al tanto de tales ataques y obliga a los empleados a revisar las bibliotecas NPM minuciosamente como resultado.

Jimmy Su, director de seguridad de Binance, explicó que el envenenamiento de paquetes es un vector de ataque creciente para los hackers norcoreanos, a quienes identificó como la mayor amenaza para las empresas cripto.

"El mayor vector actualmente contra la industria cripto son los actores estatales, particularmente en Corea del Norte, [con] Lazarus", dijo Su a Decrypt en agosto. "Han tenido un enfoque cripto en los últimos dos, tres años y han sido bastante exitosos en sus esfuerzos."

Se cree que los hackers norcoreanos fueron responsables del 61% de todas las criptomonedas robadas en 2024, reveló un informe de Chainalysis, que totalizó $1.300 millones. Desde entonces, el FBI ha atribuido a atacantes norcoreanos el hack de $1.400 millones a Bybit, que es el mayor hack cripto de todos los tiempos.

Mientras que el principal vector de ataque que Su ha notado es a través de empleados falsos, el envenenamiento de paquetes NPM está en segundo lugar junto con las estafas de entrevistas falsas. Como tal, los principales exchanges de criptomonedas comparten inteligencia a través de grupos de Telegram y Signal para poder destacar bibliotecas envenenadas.

"Estamos principalmente en esta alianza en primera línea, por lo que para los primeros en responder, cuando [hay] hacks o [necesitamos] respuesta a incidentes. Siempre estamos en este grupo, como con otros exchanges, como Coinbase, Kraken", explicó Su. "Hemos estado en alianza con esos exchanges por años ya. Hay otros más formales que se están formando hoy, pero en términos de operar en primera línea. Hemos estado haciendo eso por años ya."