Hacker tìm ra cách mới để ẩn mã độc trong smart contract Ethereum

Các nhà nghiên cứu bảo mật vừa cảnh báo về một kỹ thuật tấn công mới khi hacker lợi dụng smart contract trên Ethereum để che giấu và phát tán mã độc, khiến việc phát hiện trở nên khó khăn hơn bao giờ hết.

Theo báo cáo từ công ty an ninh mạng ReversingLabs, hai gói NPM độc hại có tên colortoolsv2 và mimelib2, được tung lên vào tháng 7, đã sử dụng smart contract để chứa địa chỉ URL độc hại thay vì lưu trữ trực tiếp. Khi lập trình viên vô tình cài đặt, các gói này sẽ truy vấn blockchain để lấy địa chỉ máy chủ điều khiển (C2), sau đó tải về malware giai đoạn 2. Bằng cách lợi dụng lưu lượng hợp pháp trên blockchain, mã độc này dễ dàng qua mặt các hệ thống quét bảo mật.

Đáng chú ý, đây không phải hành động đơn lẻ mà nằm trong một chiến dịch lừa đảo quy mô lớn trên GitHub. Nhóm tấn công đã tạo các kho lưu trữ bot giao dịch crypto giả mạo với commit ảo, nhiều tài khoản quản trị để tăng độ tin cậy, cùng tài liệu chuyên nghiệp nhằm đánh lừa các nhà phát triển.

Trước đó, nhiều chiến dịch tương tự đã được ghi nhận trên Solana và Bitcoin. Tuy nhiên, việc sử dụng Ethereum smart contract để ẩn URL độc hại là kỹ thuật hoàn toàn mới, cho thấy hacker đang ngày càng sáng tạo trong việc kết hợp blockchain với chiến thuật social engineering để vượt qua hệ thống phòng vệ truyền thống.