A blokklánc technológia nemcsak a decentralizált pénzügyek motorja, hanem egyre gyakrabban a kibertámadások új frontvonalává is válik. Egy friss biztonsági jelentés szerint a hackerek már Ethereum okosszerződéseket használnak arra, hogy elrejtsék rosszindulatú parancsaikat, ezzel új kihívások elé állítva a kiberbiztonsági szakembereket világszerte. A módszer nemcsak rafinált, de szinte észrevehetetlen — és egyre gyakoribbá válik.
Új módszer: Okosszerződésekkel bújnak meg a kártékony parancsok
A ReversingLabs nevű digitális biztonsági cég felfedezése szerint a hackerek olyan, első pillantásra ártalmatlannak tűnő NPM (Node Package Manager) csomagokat használnak, mint a „colortoolsv2” és a „mimelib2”, hogy on-chain módon – vagyis Ethereum okosszerződéseken keresztül – szerezzék meg a támadás második szakaszához szükséges szervercímeket.
Az innovatív technika nem közvetlenül a rosszindulatú kódokat tartalmazza, hanem „letöltőként” működik: a csomag kapcsolatba lép egy Ethereum okosszerződéssel, amely a valódi parancsokat tartalmazza – például egy command-and-control (C2) szerver elérhetőségét. Így a malware észrevétlenül aktiválódhat anélkül, hogy a hagyományos védelmi rendszerek riasztanának.
Miért hatékony ez a módszer?
A blokklánc tranzakciók és szerződés-hívások jellemzően legitim forgalomként jelennek meg a biztonsági rendszerek számára. Mivel az Ethereum hálózaton futó okosszerződések nyíltak és decentralizáltak, gyakorlatilag lehetetlen őket utólag módosítani vagy eltávolítani – ezzel a támadók hosszú távú hozzáférést biztosítanak maguknak.
Ál-kriptobotokkal csapják be a fejlesztőket
A támadók nem csak technikai, hanem pszichológiai trükköket is bevetnek. A GitHubon valósnak tűnő kriptokereskedési bot-projekteket hoznak létre: ezekhez hamis commit-hisztorikat, több kamuprofilos fejlesztőt és profi dokumentációt is csatolnak.
Miért célpont a fejlesztői közösség?
Az open-source fejlesztők gyakran futtatnak új csomagokat és könyvtárakat anélkül, hogy alaposan átvizsgálnák őket. Az ilyen környezet ideális terep a támadók számára: hitelesnek tűnő csomagokon keresztül tudják célba juttatni a malware-t.
Például egy fejlesztő, aki egy új kereskedési algoritmuson dolgozik, letölti a hamis „kriptobot” projektet, és ezzel tudtán kívül megfertőzi a gépét. Az okosszerződésből származó parancsok ezután kapcsolatot létesítenek a C2-szerverrel, amely letölti és futtatja a második szintű malware-t – például egy jelszólopó vagy billentyűleütés-naplózó programot.
Korábbi példák: Lazarus és a Solana-csalás
Ez az új támadási módszer nem példa nélküli. A hírhedt észak-koreai Lazarus Group már korábban is alkalmazott hasonló technikákat, például Ethereum-alapú parancstárolást.
2024 áprilisában egy hamis Solana kereskedési bot-projekt bukkant fel a GitHubon, amely valójában egy olyan malware-t terjesztett, amely kriptotárcákhoz tartozó belépési adatokat próbált megszerezni. Egy másik esetben a „Bitcoinlib” nevű Python könyvtár lett kompromittálva, szintén kriptós adatlopás céljából.
Közös jellemzők ezekben az esetekben:
-
Nyílt forráskódú fejlesztői környezet célzása
-
Megtévesztő, professzionális kinézetű projektek
-
Okosszerződés-alapú parancsátvitel
-
A blokklánc technológia kihasználása a felismerés és blokkolás elkerülésére
Hogyan működik technikailag? – Okosszerződések, mint kommunikációs csatornák
Az Ethereum okosszerződések önvégrehajtó programok, melyek előre definiált szabályok alapján működnek. Lényegük, hogy emberi beavatkozás nélkül hajtanak végre tranzakciókat és műveleteket a blokkláncon.
A támadók számára ezek a szerződések ideális „rejtőzködési helyek”. Egy egyszerű string – például egy IP-cím vagy domain – elrejthető egy okosszerződés változójában vagy log eseményében. Mivel az Ethereum blokklánc decentralizált, ezek az adatok gyakorlatilag törölhetetlenek.
Mit jelent ez a védekezés szempontjából?
A hagyományos tűzfalak és vírusirtók nem monitorozzák automatikusan a blokklánc-hívásokat. Így ha egy malware okosszerződésből szerzi be a parancsokat, a biztonsági rendszerek egyszerűen nem veszik észre. Ezzel a támadók időt és teret nyernek a károkozásra.
Összegzés: A blokklánc már nemcsak célpont, hanem támadási eszköz is
A ReversingLabs felfedezése rávilágít arra, hogy a blokklánc technológia nemcsak a decentralizált pénzügyi rendszerek sarokköve, hanem egyre inkább a kibertámadások új formájának is alapjául szolgál. A támadók nemcsak kriptovalutákat akarnak ellopni, hanem a blokkláncot eszközként is használják, hogy észrevétlenül irányítsák malware kampányaikat.
Tanulság a fejlesztők számára:
-
Minden új csomagot alaposan át kell vizsgálni
-
Kerülni kell az ismeretlen vagy gyengén dokumentált GitHub projekteket
-
Figyelni kell a szokatlan Ethereum-hívásokra, különösen, ha azok nem nyilvánvaló részei a projektnek
Záró gondolat:
Lucija Valentić, a ReversingLabs kutatója hangsúlyozta: a kiberbűnözők folyamatosan új módszereket keresnek a védelmi rendszerek kijátszására. Az okosszerződés-alapú malware parancstárolás a legújabb példája annak, hogy a blockchain technológia előnyeit nemcsak az innovátorok, hanem a rosszindulatú szereplők is igyekeznek kiaknázni. Ez pedig új korszakot nyithat a kiberbiztonság és a blokklánc találkozásában.
