Een nieuw wapen voor cybercriminelen

Hackers hebben een creatieve manier gevonden om malware te verspreiden: via Ethereum smart contracts. Onderzoekers van ReversingLabs ontdekten dat deze slimme contracten worden ingezet om kwaadaardige links en commando’s te verbergen. Hierdoor kunnen traditionele beveiligingsscans de aanvallen moeilijk herkennen.

Een smart contract is normaal een stukje code dat op de blockchain draait en automatisch opdrachten uitvoert, bijvoorbeeld bij DeFi-transacties of NFT-handel. In dit geval gebruiken hackers de techniek om hun malware te camoufleren.

Zo werkt de aanval

De besmette softwarepakketten colortoolsv2 en mimelib2, gevonden in de open-sourcebibliotheek Node Package Manager (NPM), leken onschuldig. In werkelijkheid fungeerden ze als downloaders.

In plaats van direct schadelijke bestanden te bevatten, haalden ze commando’s en URL’s op uit Ethereum smart contracts. Zodra iemand de pakketten installeerde, zocht de software verbinding met de blockchain om extra malware te downloaden. Omdat dit netwerkverkeer er legitiem uitziet, valt het nauwelijks op bij beveiligingssystemen.

Steeds geavanceerdere aanvallen

Het misbruik van blockchains door hackers is niet nieuw. Zo gebruikte de Noord-Koreaanse Lazarus Group eerder slimme contracten voor cyberaanvallen. Wat nu anders is, is dat de URL’s met kwaadaardige opdrachten in de contracten zelf zijn opgeslagen. Dat maakt het detecteren nog lastiger.

De pakketten bleken onderdeel van een grotere campagne op GitHub. Cybercriminelen zetten daar nep-repositories op, compleet met verzonnen accounts, valse commits en professioneel ogende documentatie om vertrouwen te winnen bij ontwikkelaars.

Niet alleen Ethereum in beeld

Hoewel Ethereum nu centraal staat, zijn ook andere netwerken doelwit. Zo werd in april een nep-Solana-bot verspreid via GitHub en is eerder de open-sourcebibliotheek Bitcoinlib aangevallen. Het toont aan dat aanvallen op open-source projecten steeds slimmer en diverser worden.

Conclusie

De ontdekking van malware die Ethereum smart contracts inzet, benadrukt dat cybercriminelen voortdurend nieuwe methoden vinden om beveiliging te omzeilen. Ontwikkelaars en crypto-investeerders doen er goed aan om waakzaam te blijven en alleen betrouwbare bronnen te gebruiken.

Veelgestelde vragen

Wat is een smart contract?
Een smart contract is code op de blockchain die automatisch wordt uitgevoerd zodra aan bepaalde voorwaarden wordt voldaan. Ze worden veel gebruikt voor DeFi, NFT’s en transacties, maar kunnen ook worden misbruikt.

Waarom gebruiken hackers de blockchain voor malware?
Omdat verkeer via de blockchain doorgaans legitiem oogt. Kwaadaardige commando’s die daarin verborgen zitten, vallen daardoor minder snel op bij beveiligingssoftware.

Hoe kun je jezelf beschermen tegen dit soort aanvallen?
Download alleen softwarepakketten van betrouwbare bronnen, controleer documentatie en ontwikkelaarsprofielen zorgvuldig en maak gebruik van extra beveiligingsscans.