Hackers emplean contratos inteligentes de Ethereum para ocultar malware

Innovadora estrategia cibernética: Ethereum como camuflaje para el malware

El ecosistema de Ethereum ha emergido recientemente como un nuevo frente en la evolución de los ataques a la cadena de suministro de software. Investigadores de ReversingLabs detectaron novedosas tácticas empleadas por ciberdelincuentes, quienes están utilizando contratos inteligentes de Ethereum para ocultar y distribuir cargas maliciosas, eludiendo los sistemas de seguridad tradicionales.

Este avance representa un cambio significativo en las estrategias de evasión de detección, donde los actores maliciosos adaptan rápidamente sus métodos para explotar las características intrínsecas de las plataformas blockchain.

El modus operandi: NPM y la cadena de suministro

La herramienta afectada en estos incidentes ha sido el gestor de paquetes Node Package Manager (NPM), una vasta biblioteca de software para el entorno de ejecución Node.js. NPM es considerado el registro de software más grande del mundo, esencial para millones de aplicaciones y programas desarrollados globalmente.

En julio, se identificaron dos paquetes maliciosos, denominados “colortoolsv2” y “mimelib2”, aparentemente utilidades sencillas. Sin embargo, su funcionalidad encubierta aprovechaba la cadena de bloques de Ethereum para recuperar URL ocultas. Estas URLs dirigían los sistemas comprometidos a descargar una segunda etapa de malware, facilitando así la infección.

Al integrar estos comandos dentro de un contrato inteligente, los atacantes logran camuflar sus actividades como tráfico legítimo de blockchain, complejizando significativamente su detección por parte de las defensas cibernéticas convencionales.

¿Por qué esta estrategia es única?

Lucija Valentić, investigadora de ReversingLabs, destacó la singularidad de esta técnica. “Esto es algo que no habíamos visto antes”, afirmó Valentić en el informe de la compañía, subrayando la sofisticación en las estrategias de evasión. Esta evolución muestra cómo los ciberdelincuentes están constantemente buscando nuevas formas de pasar desapercibidos en los repositorios de código abierto y, por extensión, en los entornos de desarrollo.

Históricamente, los ataques de cadena de suministro solían depender de servicios confiables como GitHub Gists, Google Drive o OneDrive para alojar enlaces maliciosos. No obstante, el uso de contratos inteligentes de Ethereum añade una dimensión ‘cripto’ a esta ya peligrosa táctica. Esta adaptación ilustra la capacidad de los atacantes para integrar sus malevolencias en infraestructuras previamente consideradas seguras o de difícil manipulación.

Contexto más amplio: la campaña y sus ramificaciones

Estos paquetes maliciosos formaban parte de una campaña más amplia. ReversingLabs pudo vincularlos a repositorios falsos de GitHub que simulaban ser bots de trading de criptomonedas. Estos repositorios fraudulentos estaban meticulosamente diseñados para parecer legítimos, incorporando elementos engañosos como:

Commits falsificados: Entradas de código adulteradas para simular actividad genuina.
Cuentas de usuario ficticias: Perfiles de usuario inventados para aparentar una participación activa.
Recuentos de estrellas inflados: Métrica artificialmente aumentada para simular popularidad y confianza.

Los desarrolladores que descargaban o utilizaban código de estos repositorios falsos corrían el riesgo inminente de importar malware sin ningún tipo de aviso o conocimiento. Esto subraya la importancia de una verificación rigurosa de las fuentes de código, incluso aquellas que parecen tener un alto grado de legitimidad.

Mitigación de riesgos y recomendaciones para desarrolladores

Los riesgos en la cadena de suministro de herramientas de código abierto en el ámbito cripto no son una novedad. Previamente, se han detectado más de 20 campañas maliciosas dirigidas a desarrolladores a través de repositorios como NPM y PyPI. Muchas de estas estaban diseñadas para:

Robar credenciales de wallet: Acceder indebidamente a las carteras de activos digitales.
Instalar mineros de criptomonedas: Utilizar los recursos del sistema de la víctima para minar criptoactivos sin consentimiento.

La adopción de contratos inteligentes de Ethereum como mecanismo de entrega demuestra la rápida adaptación de los adversarios para mimetizarse dentro de los ecosistemas de blockchain. Esta tendencia resalta un punto crucial para la comunidad de desarrolladores: la fiabilidad percibida de un paquete o repositorio no siempre es garantía de su seguridad.

Incluso los proyectos con un volumen elevado de commits o con mantenedores aparentemente activos pueden ser un señuelo. La lección fundamental es que paquetes que parecen inofensivos pueden contener cargas útiles ocultas, haciendo indispensable la auditoría constante y la verificación de la integridad del código fuente antes de su implementación.

Noticias sobre tokenización, blockchain y activos del mundo real (RWA)

El medio independiente para entender la evolución cripto, Web3 y la tokenización del mundo real

Hackers emplean contratos inteligentes de Ethereum para ocultar malware

Innovadora estrategia cibernética: Ethereum como camuflaje para el malware

El modus operandi: NPM y la cadena de suministro

¿Por qué esta estrategia es única?

Contexto más amplio: la campaña y sus ramificaciones

Mitigación de riesgos y recomendaciones para desarrolladores

Bitget Onchain supera los $100 millones en volumen diario de trading

ETFs de Solana y XRP marcan hitos históricos en el mercado canadiense

Fallo en nodo de Polygon: interrupciones de finalidad y servicios RPC

Circle y Fireblocks se asocian en la adopción de USDC para instituciones financieras

Demócratas del Senado presentan principios clave para la regulación de criptomonedas

Paxos impulsa USDH en Hyperliquid con integración PayPal y 20 millones en incentivos

BBVA fortalece su oferta de activos digitales con la custodia de bitcoin y ethereum a través de Ripple

Adopción institucional: 21X integra Chainlink en el mercado europeo de valores tokenizados