ReversingLabs研究人員發現兩個惡意npm包利用以太坊(Ethereum)智能合約隱藏并傳播惡意軟件。這兩個名為colortoolsv2和mimelib2的軟件包于2025年7月被識別,展現了開源安全攻防戰中的新戰術。
惡意軟件包偽裝成實用工具
攻擊活動始于7月7日發布的colortoolsv2。該軟件包被npm下架后,攻擊者迅速替換為包含相同惡意代碼的mimelib2。研究人員指出:"這兩個npm包濫用智能合約隱藏惡意指令,在受感染系統上安裝下載器惡意軟件。"
這些軟件包偽裝成實用程序庫,但僅包含實現惡意目的的必要文件。與合法npm工具不同,攻擊者并未著力使其看起來有用,而是通過創建看似可信的GitHub倉庫來營造合法性假象。
智能合約充當隱蔽C2服務器
傳統惡意npm包通常從硬編碼URL獲取第二階段惡意軟件,防御者可通過源代碼審查識別可疑字符串。但ReversingLabs指出:"新手法在于利用以太坊智能合約托管包含惡意指令的URL,以下載第二階段惡意軟件。"
以太坊智能合約——可自動執行的公開去中心化程序——被改造成隱蔽的命令與控制(C2)服務器。通過將惡意指令嵌入智能合約,攻擊者確保其基礎設施比傳統服務器更具彈性且更難摧毀。
報告回顧稱:"早在2023年,我們就觀察到Python包中存在類似行為模式,它們包含指向秘密GitHub代碼片的Base64加密URL,用于執行惡意代碼下載。"智能合約代表了該戰術的最新演進。
GitHub虛假信譽工程
除npm外,攻擊者還在GitHub上投入大量資源實施欺騙。例如solana-trading-bot-v2倉庫看似擁有數千次提交、活躍貢獻者和大量星標的流行加密貨幣交易工具。但研究人員發現:"所有這些細節都是偽造的。"
- 數十個7月同期創建的賬戶為該倉庫加星和分叉,但大多僅包含"Hi there"的README文件
- 項目的數千次提交主要由瑣碎文件變更構成,如重復創建和刪除LICENSE文件以模擬持續開發
- 用戶slunfuedrac被確認為向項目依賴項添加colortoolsv2和mimelib2的賬戶
ethereum-mev-bot-v2、arbitrage-bot和hyperliquid-trading-bot等其他倉庫也采用相同虛假活動模式引誘開發者。
防御門檻被抬高
通過將社會工程(偽造GitHub信譽)與技術創新(以太坊智能合約作為C2)相結合,攻擊者抬高了防御門檻。依賴開源代碼的開發者不能僅憑星標、分叉或提交次數等表面信任信號評估項目。ReversingLabs研究人員警告:"這凸顯了惡意行為者在探測開源倉庫和開發者時,其檢測規避策略正在快速演進。"
)
詳解)
)
)
