أصبحت الإيثريوم أحدث واجهة لهجمات سلسلة توريد البرامج.
في وقت سابق من هذا الأسبوع، اكتشف الباحثون في ReversingLabs حزمتين خبيثتين من NPM تستخدمان عقود Ethereum الذكية لإخفاء التعليمات البرمجية الضارة، مما يسمح للبرامج الضارة بتجاوز عمليات التحقق الأمنية التقليدية.
NPM هو مدير حزم لبيئة التشغيل Node.js ويعتبر أكبر سجل برمجيات في العالم، حيث يمكن للمطورين الوصول إلى التعليمات البرمجية ومشاركتها والتي تساهم في ملايين البرامج.
رُفعت الحزمتان "colortoolsv2" و"mimelib2" إلى مستودع Node Package Manager واسع الاستخدام في يوليو. للوهلة الأولى، بدت الحزمتان بسيطتين، لكنهما عمليًا استغلتا سلسلة كتل إيثريوم لجلب عناوين URL مخفية تُوجِّه الأنظمة المُخترقة إلى تنزيل برامج خبيثة من المرحلة الثانية.
من خلال تضمين هذه الأوامر داخل عقد ذكي، قام المهاجمون بإخفاء نشاطهم على أنه حركة مرور مشروعة على شبكة blockchain، مما يجعل الكشف أكثر صعوبة.
قالت لوسيا فالنتيتش، الباحثة في ReversingLabs، في تقريرها: "هذا أمرٌ لم نشهده من قبل. إنه يُسلّط الضوء على التطور السريع لاستراتيجيات التهرب من الكشف التي يتبعها المخربون الذين يستغلون مستودعات البرمجيات مفتوحة المصدر ومطوريها".
تعتمد هذه التقنية على أسلوب لعب قديم. استخدمت الهجمات السابقة خدمات موثوقة مثل GitHub Gists وGoogle Drive وOneDrive لاستضافة روابط ضارة. باستخدام عقود الإيثريوم الذكية، أضاف المهاجمون لمسةً مشفرةً إلى تكتيك سلسلة التوريد الخطير أصلاً.
هذه الحادثة جزء من حملة أوسع نطاقًا. اكتشفت ReversingLabs الحزم المرتبطة بمستودعات GitHub مزيفة، تنتحل صفة روبوتات تداول العملات المشفرة. زُوّدت هذه المستودعات ببيانات مُزيّفة، وحسابات مستخدمين وهمية، وأرقام نجوم مُضخّمة لتبدو شرعية.
كان المطورون الذين قاموا بسحب الكود يخاطرون باستيراد البرامج الضارة دون أن يكونوا على علم بذلك.
مخاطر سلسلة التوريد في أدوات التشفير مفتوحة المصدر ليست جديدة. ففي العام الماضي، كشف الباحثون عن أكثر من 20 حملة خبيثة تستهدف المطورين عبر مستودعات مثل npm وPyPI.
كان العديد منها يهدف إلى سرقة بيانات اعتماد المحفظة أو تثبيت أجهزة تعدين العملات المشفرة. لكن استخدام عقود الإيثريوم الذكية كآلية توصيل يُظهر أن الخصوم يتكيفون بسرعة للاندماج في أنظمة بلوكتشين.
أحد الأمور التي يجب على المطورين أخذها في الاعتبار هو أن الالتزامات الشائعة أو الصيانة النشطة يمكن تزويرها، وحتى الحزم التي تبدو غير ضارة قد تحمل حمولات مخفية.
