黑客利用以太坊智能合约在NPM包中隐藏恶意软件

黑客通过NPM包在以太坊智能合约中隐藏恶意软件，利用区块链URL绕过扫描并投放第二阶段恶意载荷。

网络安全研究人员发现黑客通过以太坊智能合约传播恶意软件的新手段。数字资产合规公司ReversingLabs揭露了两个恶意NPM包，它们将以太坊区块链内的隐藏指令作为载体。该技术通过将恶意URL伪装成区块链交互，绕过了传统安全扫描。

这一发现表明攻击者如何将开源仓库转化为攻击面。NPM包"colortoolsv2"和"mimelib2"于7月上传，充当下载器。它们并非直接托管有害链接，而是拉取存储在以太坊智能合约中的命令与控制地址。

攻击流程解析

当软件包在设备安装后，会连接区块链获取隐藏URL。这些地址随后引导系统下载第二阶段恶意软件，最终执行预设的恶意行为。由于流量显示为合法的区块链查询，传统监测工具更难识别。

ReversingLabs研究员Lucija Valentić在博客中指出，虽然区块链关联恶意软件此前已有出现，但此方法开创了新的规避策略。将恶意指令托管于智能合约内，使攻击者能在以太坊去中心化环境中掩盖其操作。

大规模社会工程行动

这些恶意软件包并非独立事件，而是大型社会工程的一部分。威胁行为者建立了逼真的GitHub仓库，伪装成合法的加密货币交易机器人。这些仓库包含虚构的提交记录、多个伪造维护者账号，以及精心编写的文档以增强可信度。

研究人员发现攻击者还创建虚假用户账号关注仓库，模拟社区兴趣。这些步骤提高了仓库的可信度，诱使开发者下载被篡改的代码。

仓库攻击的演进

据安全团队统计，仅2024年就记录到至少23起针对开源仓库的加密货币相关恶意活动。ReversingLabs表示，最近的攻击展现了战术升级——将区块链功能与欺骗策略结合，为防御者带来新挑战。

虽然以太坊是本次报告的重点，但其他平台也遭遇类似利用。4月，一个冒充Solana交易机器人的虚假GitHub仓库分发窃取加密钱包凭证的恶意软件。攻击者还曾针对"Bitcoinlib"等比特币相关库，通过嵌入恶意代码破坏开发环境。

利用以太坊智能合约托管恶意指令的行为，凸显了当前威胁的复杂性。ReversingLabs强调，本案中的智能合约并非因漏洞被利用，而是被蓄意用于存储和分发URL。这种方法构建了规避即时检测的间接恶意软件投放通道。