spot_imgspot_imgspot_imgspot_img
ホームニュースイーサリアムスマートコントラクトが悪用される可能性:NPMパッケージによる不正ダウンロード隠蔽手法に注意か

イーサリアムスマートコントラクトが悪用される可能性:NPMパッケージによる不正ダウンロード隠蔽手法に注意か

-

Ethereumスマートコントラクトを悪用したNPMパッケージのマルウェア:攻撃者がオンチェーンで悪意あるURLを隠す方法と、検知のポイントを解説します。

NPMパッケージ内のEthereumスマートコントラクトマルウェアとは?

Ethereumスマートコントラクトマルウェアとは、NPMパッケージのコードがオンチェーンのスマートコントラクトを参照し、隠されたC2(指令・制御)サーバーのURLやコマンドを取得、さらに第2段階のペイロードをダウンロードする手法です。これによりパッケージレジストリに悪質なリンクを直接置かず、静的解析の効果を低減させています。

悪意のあるNPMパッケージはどうやってスマートコントラクトを利用しペイロードを隠すのか?

攻撃者は最小限のダウンローダー機能だけを持つパッケージを公開し、Ethereumスマートコントラクトに問い合わせて暗号化されたURLやコマンドを取得します。その後、そこから第2段階マルウェアをダウンロードします。これにより悪質インフラをレジストリからブロックチェーントランザクションへ移し、正当な通信に見えるためURLベースの検知を回避しています。

ReversingLabsの調査で、Ethereumスマートコントラクトを用いて悪意あるURLを隠しセキュリティスキャンを回避した2つのNPMパッケージが発見されました。

攻撃者は検知回避のため、悪性の指令先をEthereumスマートコントラクトに埋め込み配信する新たな手法を採用。セキュリティ企業ReversingLabsは、第2段階マルウェアのダウンローダーとして機能する2件のオープンソースNPMパッケージでこの手法を確認しました。

ReversingLabsの研究者ルシヤ・ヴァレンティッチは、両パッケージをcolortoolsv2mimelib2として特定。いずれも2024年7月に公開され、悪意あるリンクをコード内に直接置かずEthereumブロックチェーンのスマートコントラクトを参照してURLを取得していました。

指令サーバーの参照をオンチェーンに移すことで、攻撃者はパッケージレジストリ上に痕跡を残さず、ブロックチェーン通信が正当と見なされる点を悪用。ダウンローダーパッケージは単純なフェッチ処理を実行し、オンチェーン情報からHTTP(S) URLを復号してペイロードを取得していました。

GitHub上のNPMパッケージ 'colortoolsv2' および 'mimelib2' - ReversingLabs
GitHub上のNPMパッケージ‘colortoolsv2’と‘mimelib2’。出典:ReversingLabs(画像は原文通り保存)

なぜこの攻撃手法は深刻なのか?

スマートコントラクトで悪意あるURLをホスティングまたは参照することは、ブロックチェーン通信とソフトウェアサプライチェーン攻撃を融合させています。検知が難しくなる理由は以下の通りです:

  • ブロックチェーンクエリは通常のノード通信に見え、URLフィルターに引っかからない可能性が高い。
  • パッケージのマニフェストは一見無害で、単純なダウンローダーコードしか公開されていない。
  • GitHub上でのソーシャルエンジニアリングや捏造されたプロジェクト履歴により、悪質なリポジトリへの信頼度が増す。

攻撃者はどうやって悪質リポジトリを正当なものに見せたのか?

攻撃者は偽のコミット、架空のメンテナアカウント、関心を装うウォッチャーアカウント、プロによるドキュメント作成、多数のフォークによって活発な開発を模倣、こうしたソーシャルエンジニアリングを駆使して、開発者や利用者が疑いなくパッケージを導入する狙いがありました。

よくある質問

スマートコントラクトは悪意あるコンテンツを隠すのに使えるのか?

はい。スマートコントラクトはエンコードされた文字列やURLを格納または参照可能です。攻撃者はC2アドレスやコマンドをオンチェーンに暗号化しておき、ダウンローダーコードがそれを解読し、第2段階のマルウェア配布を実現します。従来のサーバーに悪質なリンクを置かずに済むため、検知が難しくなります。

開発者はどうすればオンチェーンURLを使うNPMパッケージを検知できる?

ブロックチェーンのRPCコールを行うパッケージを監視し、予期しないノードへの問い合わせなどランタイムのネットワーク挙動を確認、さらにネットワーク隔離下でのサンドボックスインストールを実施することが有効です。静的解析だけではオンチェーン参照が見落とされる恐れがあります。

この攻撃はEthereumに限られるのか?

いいえ。他のチェーンでも同様の手法が確認されています。過去にはSolanaを標的とした偽リポジトリや、BitcoinlibなどPythonライブラリを狙った攻撃もあり、攻撃者はエコシステムを跨いで手法を適応させています。

まとめ

  • 新技術:攻撃者はEthereumスマートコントラクトを使いC2 URLを隠し、標準的なスキャンを回避。
  • サプライチェーンリスク:毒されたNPMパッケージはダウンローダーとして機能し、巧妙なGitHubの詐術に依拠。
  • 対策:パッケージ審査の強化、ビルド時のブロックチェーンRPCコール監視、サンドボックス環境でのインストール推奨。

結論

今回の事例は、ブロックチェーン技術と伝統的なサプライチェーン詐称を融合させた急速に進化する脅威を示しています。組織は検知体制をアップデートし、ランタイムでのブロックチェーン問い合わせ監視、厳格なパッケージ由来の検証、サンドボックスインストールを導入すべきです。ReversingLabsや他のセキュリティチームは、オンチェーン操作を行うパッケージに対する警戒強化を推奨しています。

最新の暗号資産ニュースを見逃さないために、当サイトのTwitterアカウントとTelegramチャンネルの通知を必ず有効にしてください。

最新の暗号通貨ニュースについて情報を得るために、私たちのTwitterアカウントとTelegramチャンネルの通知を有効にすることを忘れないでください。
アニサ 中村
アニサ 中村https://jp.coinotag.com/
中村アニサは、暗号通貨に強い興味を持ち、2年間の経験を積んだ経験豊富な女性著者です。彼女は暗号通貨の技術的な側面について深く理解し、市場動向に敏感に反応します。また、彼女は暗号通貨の可能性に魅了され、熱心に研究を行い、読者と共有しています。

最新記事

- スポンサー付き -spot_imgspot_imgspot_imgspot_img
- スポンサー付き -spot_imgspot_imgspot_img
- スポンサー付き -spot_imgspot_imgspot_imgspot_img

最も人気のある