ReversingLabs研究人员发现两个恶意npm包利用以太坊(Ethereum)智能合约隐藏并传播恶意软件。这两个名为colortoolsv2和mimelib2的软件包于2025年7月被识别,展现了开源安全攻防战中的新战术。
恶意软件包伪装成实用工具
攻击活动始于7月7日发布的colortoolsv2。该软件包被npm下架后,攻击者迅速替换为包含相同恶意代码的mimelib2。研究人员指出:"这两个npm包滥用智能合约隐藏恶意指令,在受感染系统上安装下载器恶意软件。"
这些软件包伪装成实用程序库,但仅包含实现恶意目的的必要文件。与合法npm工具不同,攻击者并未着力使其看起来有用,而是通过创建看似可信的GitHub仓库来营造合法性假象。
智能合约充当隐蔽C2服务器
传统恶意npm包通常从硬编码URL获取第二阶段恶意软件,防御者可通过源代码审查识别可疑字符串。但ReversingLabs指出:"新手法在于利用以太坊智能合约托管包含恶意指令的URL,以下载第二阶段恶意软件。"
以太坊智能合约------可自动执行的公开去中心化程序------被改造成隐蔽的命令与控制(C2)服务器。通过将恶意指令嵌入智能合约,攻击者确保其基础设施比传统服务器更具弹性且更难摧毁。
报告回顾称:"早在2023年,我们就观察到Python包中存在类似行为模式,它们包含指向秘密GitHub代码片的Base64加密URL,用于执行恶意代码下载。"智能合约代表了该战术的最新演进。
GitHub虚假信誉工程
除npm外,攻击者还在GitHub上投入大量资源实施欺骗。例如solana-trading-bot-v2仓库看似拥有数千次提交、活跃贡献者和大量星标的流行加密货币交易工具。但研究人员发现:"所有这些细节都是伪造的。"
- 数十个7月同期创建的账户为该仓库加星和分叉,但大多仅包含"Hi there"的README文件
- 项目的数千次提交主要由琐碎文件变更构成,如重复创建和删除LICENSE文件以模拟持续开发
- 用户slunfuedrac被确认为向项目依赖项添加colortoolsv2和mimelib2的账户
ethereum-mev-bot-v2、arbitrage-bot和hyperliquid-trading-bot等其他仓库也采用相同虚假活动模式引诱开发者。
防御门槛被抬高
通过将社会工程(伪造GitHub信誉)与技术创新(以太坊智能合约作为C2)相结合,攻击者抬高了防御门槛。依赖开源代码的开发者不能仅凭星标、分叉或提交次数等表面信任信号评估项目。ReversingLabs研究人员警告:"这凸显了恶意行为者在探测开源仓库和开发者时,其检测规避策略正在快速演进。"