در یک تحول نگرانکننده و پیچیده، بازیگران مخرب موفق شدهاند بدافزارهایی را درون قراردادهای هوشمند شبکه اتریوم پنهان کنند؛ راهکاری که به آنها اجازه میدهد از دید اسکنرهای امنیتی پنهان بمانند و حملات پیچیدهتری را بهویژه علیه توسعهدهندگان پلتفرمهای رمزنگاریشده اجرا کنند. این اتفاق زنگ خطر مهمی برای اکوسیستم متنباز و بلاکچین محسوب میشود.
استفاده خلاقانه از قراردادهای هوشمند برای توزیع بدافزار
در جولای سال جاری، دو پکیج جدید با نامهای colortoolsv2 و mimelib2 در مخزن NPM منتشر شدند. در ظاهر، این بستهها تنها ابزارهایی ساده برای توسعهدهندگان جاوااسکریپت بودند. اما بررسی دقیقتر نشان داد که این پکیجها پس از نصب، آدرسهایی برای دریافت بدافزارهای ثانویه را از قراردادهای هوشمند استخراج میکردند.
در واقع، عملکرد آنها به گونهای طراحی شده بود که هیچگونه رفتار مخربی در مرحله اول از خود نشان ندهند. اطلاعات فرمان و کنترل (C2) در درون قراردادهای اتریوم ذخیره شده بود و در لحظه مناسب، فراخوانی میشد. بدینترتیب، این بدافزارها میتوانستند بهراحتی از چشمان ابزارهای امنیتی عبور کرده و سیستم کاربر را آلوده کنند.
چرا این حمله متفاوت است؟
هرچند استفاده از قراردادهای هوشمند برای مقاصد خرابکارانه قبلاً هم مشاهده شده بود (از جمله در حملات گروه لازاروس وابسته به کره شمالی)، اما برای اولین بار است که قراردادهای هوشمند به عنوان محل ذخیره لینکهای بدافزار استفاده میشوند. این تفاوت ظریف اما حیاتی، یک گام رو به جلو در حملات زنجیره تأمین نرمافزار است. هکرها دیگر تنها به کد منبع حمله نمیکنند، بلکه از بلاکچین به عنوان پوششی مشروع و مقاوم در برابر فیلترینگ و شناسایی بهره میگیرند.
کمپینهای فریب پیچیده از طریق گیتهاب
نکته مهم در این حملهها، سادگی یا خام بودن آنها نبود؛ بلکه اتفاقاً با طراحیهای بسیار حرفهای، حسابهای جعلی توسعهدهنده، پروژههای شبیهسازیشده با مستندات کامل و حتی مشارکتکنندگان ساختگی انجام شده بود. در پلتفرمی مانند گیتهاب، کاربران با مشاهده چنین مخازنی بهسختی میتوانند به جعلیبودن آنها پی ببرند. در این کمپینها، ظاهر ماجرا بهگونهای طراحی شده بود که گویی با یک پروژه واقعی، پرطرفدار و در حال توسعهی فعال روبهرو هستید؛ در حالی که پشت پرده آن تنها کدی برای انتقال بدافزار نهفته بود.
جدول مقایسه نحوه عملکرد پکیجهای مخرب جدید با روشهای قبلی
| ویژگی | حملات قدیمی بر پایه کدهای آلوده | روش جدید بر پایه قراردادهای هوشمند |
|---|---|---|
| محل ذخیره لینک بدافزار | مستقیم در کد مخرب یا سرور مشخص | داخل قرارداد هوشمند در بلاکچین |
| سطح شناسایی توسط آنتیویروسها | نسبتاً بالا | بسیار پایین بهدلیل ظاهر قانونی |
| تکنیک پنهانسازی | Obfuscation و فشردهسازی کد | استفاده از بستر غیرمتمرکز بلاکچین |
| برد حمله | محدود به سیستم نصبکننده پکیج | میتواند شامل تمامی کاربران شبکه باشد |
| نوآوری در حمله | تکراری | خلاقانه و کمسابقه |
چرا باید توسعهدهندگان نگران باشند؟
توسعهدهندگان نرمافزارهای متنباز بهطور طبیعی تمایل دارند از پکیجهای آمادهی NPM و سایر ریپازیتوریها استفاده کنند. اما با گسترش این روشهای حمله، اعتماد بیچونوچرا به پروژههای آنلاین دیگر توجیهپذیر نیست. بهخصوص زمانی که لینکها یا اطلاعات حساس از طریق بلاکچین منتقل شوند، نمیتوان به سادگی آنها را شناسایی یا حذف کرد. این بدین معناست که توسعهدهنده ناخواسته ممکن است بخشی از یک حمله پیچیده شود، بدون آنکه حتی بداند.
آیا بلاکچین به پناهگاهی برای بدافزارها تبدیل شده؟
این سؤال ممکن است برای بسیاری مطرح شود: آیا قرار است شبکههایی مانند اتریوم، که قرار بود نماد شفافیت و تمرکززدایی باشند، حالا به بستری برای فعالیتهای مخفی تبدیل شوند؟
واقعیت این است که هر فناوری دو لبه دارد. همانطور که قراردادهای هوشمند قدرت ایجاد محصولات مالی نوین و شفاف را دارند، میتوانند به همان اندازه توسط مهاجمان برای اهداف مخرب استفاده شوند. این مورد خاص نشان داد که بلاکچین میتواند به ابزاری برای استتار دادههای مخرب نیز تبدیل شود.
حملات مشابه در سایر بلاکچینها
در فروردین ۱۴۰۳، مخزنی جعلی تحت عنوان ربات معاملاتی سولانا نیز در گیتهاب ظاهر شد که حاوی کدی برای سرقت کلیدهای کیف پول ارز دیجیتال بود. همچنین پروژهای با نام Bitcoinlib نیز مورد سوءاستفاده قرار گرفت؛ این پروژه یک کتابخانه محبوب پایتون برای توسعه بیتکوین است. تمامی این رویدادها نشان میدهند که حملات هدفمند به سمت توسعهدهندگان وب۳ و پروژههای متنباز در حال افزایش و پیچیدهتر شدن هستند.
نتیجهگیری
پکیجهای colortoolsv2 و mimelib2 تنها نمونههایی از خلاقیت فزایندهی مهاجمان سایبری هستند که از مسیرهای پیشبینینشده به امنیت توسعهدهندگان و کاربران نفوذ میکنند. امروز دیگر نمیتوان تنها با نگاهکردن به ظاهر پروژه یا تعداد استارهای گیتهاب، به آن اطمینان کرد. ضرورت دارد که فعالان فضای وب۳، بهویژه توسعهدهندگان، در کنار نوآوری، رویکردی محتاطانه و تحلیلی نسبت به ابزارهایی که استفاده میکنند داشته باشند. همچنین، سیستمهای نظارت امنیتی نیز باید بهروزرسانی و تطبیق با تکنیکهای نوین پنهانسازی را در اولویت قرار دهند.
