Crypto-hackers gebruiken nu Ethereum-smartcontracts om malwarepayloads te maskeren. Eenvoudige code maakte gebruik van Ethereum’s blockchain om verborgen URL’s op te halen die geïnfecteerde systemen leidden naar het downloaden van malware van de tweede fase.
Bijgewerkt 4 sep 2025, 6:56 a.m. Gepubliceerd 4 sep 2025, 6:52 a.m.
Ethereum is de nieuwste frontlinie geworden voor aanvallen op softwareleveringsketens. Onderzoekers bij ReversingLabs eerder deze week heeft twee kwaadaardige NPM-pakketten ontdekt die gebruikmaakten van Ethereum smart contracts om schadelijke code te verbergen, waardoor de malware traditionele beveiligingscontroles kon omzeilen.
NPM is een pakketbeheerder voor de runtime-omgeving Node.js en wordt beschouwd als het grootste softwareregister ter wereld, waar ontwikkelaars toegang hebben tot en code kunnen delen die bijdraagt aan miljoenen softwareprogramma’s.
De pakketten, “colortoolsv2” en “mimelib2,” werden in juli geüpload naar de veelgebruikte Node Package Manager-repository. Op het eerste gezicht leken het eenvoudige hulpmiddelen, maar in de praktijk maakten ze gebruik van de Ethereum-blockchain om verborgen URL’s op te halen die gecompromitteerde systemen aanzetten tot het downloaden van malware van de tweede fase.
Door deze opdrachten in te bedden in een slim contract, vermomden aanvallers hun activiteit als legitiem blockchainverkeer, wat detectie bemoeilijkte.
“Dit is iets wat we eerder niet hebben gezien,” zei ReversingLabs-onderzoeker Lucija Valentić in hun rapport. “Het benadrukt de snelle ontwikkeling van detectie-ontwijkingsstrategieën door kwaadwillende actoren die open source repositories en ontwikkelaars trollen.”
De techniek bouwt voort op een oud draaiboek. Eerdere aanvallen maakten gebruik van vertrouwde diensten zoals GitHub Gists, Google Drive of OneDrive om kwaadaardige links te hosten. Door in plaats daarvan Ethereum-smartcontracts te gebruiken, voegden aanvallers een crypto-getinte draai toe aan een reeds gevaarlijke tactiek in de supply chain.
Het incident maakt deel uit van een bredere campagne. ReversingLabs ontdekte dat de pakketten gekoppeld waren aan nep-GitHub-repositories die zich voordeden als cryptocurrency-handelsbots. Deze repositories waren opgezet met gefingeerde commits, valse gebruikersaccounts en opgeblazen aantallen sterren om legitiem te lijken.
Ontwikkelaars die de code hebben gedownload, liepen het risico malware te importeren zonder zich daarvan bewust te zijn.
Risico’s in de toeleveringsketen van open-source crypto-hulpmiddelen zijn niet nieuw. Vorig jaar waarschuwden onderzoekers voor meer dan 20 kwaadaardige campagnes die ontwikkelaars via repositories zoals npm en PyPI doelwit maakten.
Velen waren gericht op het stelen van wallet-gegevens of het installeren van cryptominers. Maar het gebruik van Ethereum smart contracts als leveringsmechanisme toont aan dat tegenstanders zich snel aanpassen om zich te mengen in blockchain-ecosystemen.
Een belangrijke les voor ontwikkelaars is dat populaire commits of actieve beheerders nagemaakt kunnen worden, en zelfs ogenschijnlijk onschuldige pakketten verborgen payloads kunnen bevatten.
Verdieping van de Analyse:
Deze nieuwe aanvalsmethode via Ethereum smart contracts vertegenwoordigt een significante escalatie in de complexiteit en subtiliteit van cyberaanvallen gericht op de software supply chain. Het feit dat aanvallers nu gebruikmaken van de blockchain om hun kwaadaardige code te verbergen, onderstreept de noodzaak van geavanceerdere beveiligingsmaatregelen en een dieper begrip van de risico’s die inherent zijn aan open-source software.
Waarom is dit zo gevaarlijk?
- Omzeiling van Traditionele Beveiliging: Traditionele beveiligingsscanners zijn vaak niet in staat om kwaadaardige code te detecteren die is verborgen in smart contracts. Dit komt omdat deze scanners doorgaans niet zijn ontworpen om de complexiteit van blockchain-transacties en de code die in smart contracts is opgeslagen, te analyseren.
- Verhoogde Moeilijkheid van Detectie: Het gebruik van Ethereum maakt het traceren van de bron van de aanval aanzienlijk moeilijker. Blockchain-transacties zijn weliswaar transparant, maar het vereist gespecialiseerde kennis en tools om de transacties te analyseren en de aanvallers te identificeren.
- Vertrouwen in Open-Source: Ontwikkelaars vertrouwen vaak op open-source pakketten om hun werk te versnellen en te vereenvoudigen. Deze aanval ondermijnt dat vertrouwen en dwingt ontwikkelaars om elke afhankelijkheid grondiger te onderzoeken.
Wie zijn de slachtoffers?
De potentiële slachtoffers van deze aanvallen zijn breed en divers. Ze omvatten:
- Ontwikkelaars: Die onbewust kwaadaardige pakketten downloaden en integreren in hun projecten.
- Bedrijven: Die software gebruiken die afhankelijk is van de gecompromitteerde open-source pakketten.
- Eindgebruikers: Die software gebruiken die is besmet met malware via de gecompromitteerde pakketten.
Wat kunnen ontwikkelaars doen om zich te beschermen?
Er zijn verschillende stappen die ontwikkelaars kunnen nemen om zich te beschermen tegen deze nieuwe vorm van aanvallen:
- Grondig Onderzoek: Voordat u een open-source pakket gebruikt, moet u het grondig onderzoeken. Controleer de reputatie van de ontwikkelaar, de code repository en de community feedback.
- Gebruik Beveiligingsscanners: Gebruik geavanceerde beveiligingsscanners die in staat zijn om kwaadaardige code te detecteren, zelfs als deze is verborgen in smart contracts.
- Implementeer Software Composition Analysis (SCA): SCA-tools helpen bij het identificeren van alle open-source componenten in een softwareproject en waarschuwen voor bekende kwetsbaarheden.
- Wees Voorzichtig met Afhankelijkheden: Beperk het aantal afhankelijkheden in uw projecten en controleer regelmatig op updates en beveiligingspatches.
- Gebruik een Sandbox-omgeving: Test nieuwe pakketten in een sandbox-omgeving voordat u ze in uw productieomgeving implementeert.
- Blijf Op de Hoogte: Volg de nieuwste beveiligingsupdates en -waarschuwingen om op de hoogte te blijven van nieuwe bedreigingen en kwetsbaarheden.
- Overweeg Formele Verificatie: Voor kritieke systemen, overweeg het gebruik van formele verificatiemethoden om de correctheid en veiligheid van de code te garanderen.
De Rol van de Blockchain-Community:
De blockchain-community speelt een cruciale rol bij het bestrijden van deze nieuwe vorm van cyberaanvallen. Dit omvat:
- Ontwikkeling van Beveiligingshulpmiddelen: Het ontwikkelen van geavanceerde beveiligingshulpmiddelen die specifiek zijn ontworpen om kwaadaardige code in smart contracts te detecteren.
- Delen van Informatie: Het delen van informatie over nieuwe bedreigingen en kwetsbaarheden met de bredere community.
- Bevordering van Best Practices: Het bevorderen van best practices voor veilige softwareontwikkeling in de blockchain-ruimte.
- Samenwerking: Samenwerking tussen beveiligingsonderzoekers, ontwikkelaars en de blockchain-community om de veiligheid van het ecosysteem te verbeteren.
De Toekomst van Cyberaanvallen op de Blockchain:
Het gebruik van Ethereum smart contracts om malware te verbergen is waarschijnlijk slechts het begin van een nieuwe trend in cyberaanvallen. Naarmate de blockchain-technologie zich verder ontwikkelt en meer wijdverspreid wordt, kunnen we verwachten dat aanvallers steeds geavanceerdere technieken zullen gebruiken om kwetsbaarheden te exploiteren. Het is daarom essentieel dat de beveiligingsindustrie en de blockchain-community samenwerken om deze bedreigingen voor te blijven en de veiligheid van het ecosysteem te waarborgen.
Regelgeving en Compliance:
Naarmate de crypto-industrie volwassener wordt, zal de regelgeving een steeds grotere rol spelen. Het is belangrijk dat ontwikkelaars en bedrijven op de hoogte blijven van de relevante wet- en regelgeving en ervoor zorgen dat hun software voldoet aan de geldende normen. Dit omvat onder meer het implementeren van adequate beveiligingsmaatregelen en het naleven van privacywetgeving.
Educatie en Bewustwording:
Een van de belangrijkste aspecten van het bestrijden van cyberaanvallen is educatie en bewustwording. Ontwikkelaars en eindgebruikers moeten zich bewust zijn van de risico’s die inherent zijn aan het gebruik van open-source software en de blockchain-technologie, en ze moeten weten hoe ze zich kunnen beschermen. Dit omvat onder meer het aanbieden van trainingen en workshops, het publiceren van beveiligingsrichtlijnen en het bevorderen van een cultuur van beveiligingsbewustzijn.
Conclusie:
De ontdekking van malware die is verborgen in Ethereum smart contracts is een wake-up call voor de beveiligingsindustrie en de blockchain-community. Het onderstreept de noodzaak van geavanceerdere beveiligingsmaatregelen en een dieper begrip van de risico’s die inherent zijn aan open-source software en de blockchain-technologie. Door samen te werken en te investeren in educatie, beveiligingshulpmiddelen en best practices, kunnen we de veiligheid van het blockchain-ecosysteem verbeteren en de opkomst van nieuwe vormen van cyberaanvallen voorkomen. De komende jaren zullen cruciaal zijn in de ontwikkeling van een robuust en veilig blockchain-ecosysteem dat bestand is tegen de voortdurende evolutie van cyberdreigingen. Het is een race tegen de klok, waarbij innovatie en beveiliging hand in hand moeten gaan om het vertrouwen in deze transformerende technologie te behouden.