Kötü Amaçlı Yazılım, Tespit Edilmekten Kaçınmak İçin Ethereum Akıllı Sözleşmelerini Kullanıyor

Kötü amaçlı yazılım aktörleri, Ethereum akıllı sözleşmeleri aracılığıyla kötü amaçlı yazılım dağıtmak için sofistike bir yöntem geliştirdiler ve geleneksel güvenlik sistemlerini atlatmayı başardılar. Bu siber saldırılardaki evrim, ReversingLabs siber güvenlik araştırmacıları tarafından tespit edildi ve Node Package Manager (NPM)'da yeni açık kaynaklı kötü amaçlı yazılım keşfedildi; bu, geniş bir JavaScript paketleri ve kütüphaneleri koleksiyonudur.

ReversingLabs araştırmacısı Lucija Valentić, recent bir yayında, "colortoolsv2" ve "mimelib2" olarak adlandırılan kötü amaçlı yazılım paketlerinin, kötü amaçlı komutları gizlemek için Ethereum akıllı sözleşmelerini kullandığını vurguladı. Temmuz ayında yayımlanan bu paketler, kötü amaçlı bağlantıları doğrudan barındırmak yerine, akıllı sözleşmelerden komut ve kontrol sunucularının adreslerini geri yükleyen indirme araçları olarak çalışıyor. Bu yaklaşım, blockchain trafiğinin meşru görünmesi nedeniyle tespit çabalarını karmaşıklaştırıyor ve kötü amaçlı yazılımın, hedef alınmış sistemlere indirme yazılımı yüklemesine olanak tanıyor.

Yenilikçi kaçış tekniği

Ethereum akıllı sözleşmelerinin, kötü amaçlı yazılımların komutlarının bulunduğu URL'leri barındırmak için kullanılmasının, kötü amaçlı yazılım uygulamasında yenilikçi bir teknik temsil ettiğini göstermektedir. Valentić, bu yöntemin tespit kaçırma stratejilerinde önemli bir değişim işareti olduğunu gözlemledi, çünkü kötü niyetli aktörler giderek daha fazla açık kaynak kodu depolarını ve geliştiricileri istismar ediyor. Bu taktik, bu yılın başlarında Kuzey Kore ile bağlantılı Lazarus Grubu tarafından daha önce kullanılmıştı, ancak mevcut yaklaşım, saldırı vektörlerinde hızlı bir evrimi göstermektedir.

Kandırıcı kampanya hazırlanmış

Kötü amaçlı yazılımlar, esasen GitHub aracılığıyla faaliyet gösteren daha geniş bir aldatma kampanyasının parçasıdır. Kötü niyetli aktörler, kripto para ticareti botlarının sahte depolarını oluşturmuş, bunları sahte commit'ler, sahte kullanıcı hesapları, birden fazla bakımcı hesabı ve profesyonel görünümlü proje tanımları ve belgelerle inandırıcı hale getirmiştir. Bu karmaşık sosyal mühendislik stratejisi, geleneksel tespit yöntemlerini aşmayı hedeflemekte, blok zinciri teknolojisini aldatıcı uygulamalarla birleştirmektedir.

2024'te, güvenlik araştırmacıları açık kaynak kodlu depolarda kripto para ile ilgili 23 kötü amaçlı kampanya belgelenmiştir. Ancak, bu son saldırı vektörü, depolara yönelik saldırıların sürekli evrimini vurgulamaktadır. Ethereum'un yanı sıra, benzer taktikler, kötü amaçlı yazılım dağıtarak kripto para cüzdanı kimlik bilgilerini çalan Solana ticaret botu gibi davranan sahte bir GitHub deposu gibi diğer platformlarda da kullanılmıştır. Ayrıca, Bitcoin geliştirmeyi kolaylaştırmak için tasarlanmış açık kaynak kodlu bir Python kütüphanesi olan "Bitcoinlib" saldırıya uğramıştır ve bu siber tehditlerin çeşitli ve uyumlu doğasını göstermektedir.

Kripto tehditlere karşı koruma

Dijital varlıklarını bu tür tehditlere karşı korumak için, kullanıcıların doğrulanmamış kaynaklardan yazılım indirmekten kaçınmaları ve güncellenmiş antivirüs programları kullanmaları gerekmektedir. İki faktörlü kimlik doğrulama gibi sağlam güvenlik önlemlerinin uygulanması önerilir ve oltalama girişimlerine karşı dikkatli olunmalıdır. Daha fazla güvenlik için, özel anahtarları çevrimdışında tutan ve bu tür sofistike saldırılara karşı ek bir koruma katmanı sunan donanım cüzdanlarının kullanımını düşünün.

Bu saldırı tekniklerindeki evrim, kripto ekosisteminde, özellikle açık kaynak kodu havuzlarıyla etkileşimde bulunurken ve kripto para ile ilgili yazılımları indirirken, sıkı güvenlik uygulamalarını sürdürmenin önemini vurgulamaktadır.