La nueva táctica de los hackers para evadir la detección

Los cibercriminales están dando un giro oscuro en sus métodos de ataque; ahora, utilizan contratos inteligentes de Ethereum para ocultar malware dentro de bibliotecas de código abierto. Investigaciones de la firma de seguridad ReversingLabs revelan una nueva amenaza que mezcla la sofisticación del blockchain con la malevolencia del cibercrimen, lo que complica la labor de quienes defienden la red digital.

¿Cómo operan estos ataques?

La última campaña de estos atacantes se enfocó en Node Package Manager (npm), una plataforma que contiene millones de paquetes de JavaScript. En julio, emergieron dos paquetes sospechosos, 'colortoolsv2' y 'mimelib2', que actuaron como vehículos del código malicioso.

En lugar de incrustar enlaces malignos directamente en el paquete, estos scripts ofuscados consultaban contratos de Ethereum para determinar la ubicación de su carga útil. Este método astuto dificultó la identificación por parte de los sistemas de seguridad, que suelen detectar dominios maliciosos de forma más convencional.

Una vez que el script accedía al contrato inteligente, guiaba al paquete infectado a descargar un componente adicional de malware, lo que permitió a los atacantes cambiar la ubicación de la carga útil en la blockchain, sin necesidad de modificar el paquete en npm.

Una campaña más amplia detrás de la fachada

Los investigadores de ReversingLabs descubrieron que estos paquetes maliciosos formaban parte de un esquema mucho más grande que se extendía a proyectos de GitHub. Repositorios falsos como 'solana-trading-bot-v2' intentaban hacerse pasar por legítimos, utilizando commits automatizados y feedback inventado para atraer a desarrolladores desprevenidos.

Detrás de esta trampa, los ciberdelincuentes rotaban dependencias maliciosas bajo diferentes nombres, expandiendo la infección entre múltiples proyectos. Este ataque se suma a incidentes anteriores donde npm y GitHub fueron utilizados para promover bots de trading fraudulentos y herramientas cripto engañosas.

La evolución del cibercrimen: un reto para la comunidad de desarrollo

La última campaña es una señal de advertencia alarmante; revela cómo los actores maliciosos no solo están abusando de la confianza inherente al código abierto, sino que también están incorporando la tecnología blockchain en sus esquemas de ataque. La comunidad de desarrolladores necesita redoblar esfuerzos en detectar y mitigar estas amenazas que, con cada día que pasa, se vuelven más sofisticadas.