Os hackers continuam a desenvolver suas táticas, e os últimos desenvolvimentos destacam uma interseção preocupante entre a tecnologia blockchain e as cadeias de suprimentos de software de código aberto. Pesquisadores de segurança descobriram um novo método usado por hackers: incorporar instruções maliciosas em contratos inteligentes da Ethereum para ocultar e distribuir malware.
A descoberta foi feita por especialistas em segurança cibernética da ReversingLabs, que relataram que dois pacotes JavaScript recentemente carregados no repositório Node Package Manager (NPM), amplamente utilizado, foram transformados em armas com essa abordagem. O NPM é um dos maiores ecossistemas para bibliotecas de software de código aberto, utilizado por desenvolvedores em todo o mundo. Devido ao seu tamanho e à confiança da comunidade de desenvolvimento, ele tem se tornado cada vez mais um alvo para agentes maliciosos que buscam explorar usuários desavisados.
De acordo com o relatório, os dois pacotes em questão — chamados “colortoolsv2” e “mimelib2” — foram publicados em julho e pareciam ser ferramentas inofensivas para desenvolvedores.
No entanto, por baixo de sua funcionalidade superficial, eles se aproveitaram de contratos inteligentes da Ethereum para buscar endereços de servidores remotos controlados pelos invasores. Esses servidores então distribuíram malware para download nos sistemas comprometidos.
O que torna essa tática particularmente perigosa é como ela contorna as varreduras de segurança tradicionais.
Em vez de hospedar payloads maliciosos diretamente no código do pacote ou depender de links estáticos, o software consultava a blockchain Ethereum para recuperar instruções de comando e controle (C2). Como as consultas em blockchain são amplamente consideradas tráfego legítimo, esse método permitiu que os invasores ignorassem as ferramentas de detecção que monitoram conexões de saída suspeitas.
Uma vez instalado, o malware começou a baixar um payload de segundo estágio, capaz de realizar ações mais danosas, desde roubo de dados até controle remoto do sistema.
Malware distribuído por meio de redes blockchain não é um conceito totalmente novo. No início de 2024, o grupo norte-coreano Lazarus Group foi documentado usando contratos inteligentes Ethereum para ocultar elementos de suas campanhas.
No entanto, a pesquisadora do ReversingLabs, Lucija Valentić, enfatizou que este caso marca uma escalada:
“Em vez de incorporar instruções estáticas, os invasores usaram contratos inteligentes como repositórios dinâmicos para URLs maliciosas.”
Essa mudança sutil torna a detecção ainda mais difícil e ressalta a adaptabilidade dos cibercriminosos na exploração de tecnologias emergentes.
Os pacotes maliciosos não foram tentativas isoladas, mas parte de um esquema mais amplo de engenharia social que se desenrolou no GitHub. Hackers criaram repositórios falsos disfarçados de bots de negociação de criptomoedas, com documentação refinada, históricos de commits fabricados e múltiplas contas falsas de mantenedores para imitar o desenvolvimento ativo. Essas medidas enganosas foram projetadas para construir confiança entre os desenvolvedores e induzir as vítimas a baixar os pacotes comprometidos.
Infelizmente, este não é um caso isolado de manipulação da cadeia de suprimentos de software. Ao longo de 2024, pesquisadores rastrearam pelo menos 23 campanhas maliciosas relacionadas a criptomoedas explorando repositórios de código aberto, destacando a tendência crescente de invasores combinarem inovação técnica com engenharia social.
Por exemplo, em abril daquele ano, um bot de negociação Solana falso surgiu no GitHub, distribuindo malware que visava especificamente credenciais de carteira.
Da mesma forma, bibliotecas de desenvolvedores relacionadas ao Bitcoin, como a “Bitcoinlib”, também foram comprometidas em incidentes anteriores.
As implicações dessa descoberta vão além dos desenvolvedores individuais. O código-fonte aberto é frequentemente integrado a pilhas de software corporativo, o que significa que um ataque bem-sucedido pode resultar em violações em larga escala em todos os setores.
Além disso, usar blockchain como infraestrutura de comando representa um desafio para os defensores, já que as estratégias tradicionais de remoção — como o fechamento de domínios maliciosos — são ineficazes contra redes descentralizadas.
Especialistas alertam que essas táticas em evolução exigem um novo nível de vigilância.
Os desenvolvedores são incentivados a verificar a autenticidade das bibliotecas antes da instalação, examinar os históricos dos repositórios e confiar em fontes confiáveis em vez de projetos criados recentemente ou obscuros.
As empresas de segurança também estão solicitando ferramentas de monitoramento aprimoradas, capazes de detectar a recuperação de comandos baseada em blockchain, bem como uma colaboração mais estreita entre as plataformas de código aberto e a comunidade de segurança cibernética.
O incidente é um lembrete claro de que a transparência e a imutabilidade do blockchain, embora benéficas para transações financeiras sem necessidade de confiança, também podem ser reutilizadas por agentes maliciosos.
Ao incorporar instruções em infraestruturas descentralizadas, os invasores ganham resiliência contra contramedidas tradicionais, aumentando os riscos tanto para usuários individuais quanto para defensores institucionais.
À medida que a tecnologia blockchain continua a se expandir para finanças, cadeias de suprimentos e até mesmo aplicações de inteligência artificial, sua natureza de uso duplo continuará sendo um ponto focal para a segurança cibernética.
A ascensão dos contratos inteligentes habilitados pela Ethereum Alware demonstra que os invasores não estão apenas inovando, mas também buscando explorar as próprias ferramentas que definem o ecossistema da Web3.
Para desenvolvedores e organizações, manter-se à frente dessas táticas exige tanto defesas técnicas quanto uma compreensão crescente de como os agentes de ameaças se adaptam às tecnologias do futuro.
