加密货币武器化:恶意npm包利用以太坊智能合约实现隐蔽通信

ReversingLabs研究人员发现两个恶意npm包利用以太坊(Ethereum)智能合约隐藏并传播恶意软件。这两个名为colortoolsv2和mimelib2的软件包于2025年7月被识别,展现了开源安全攻防战中的新战术。

恶意软件包伪装成实用工具

攻击活动始于7月7日发布的colortoolsv2。该软件包被npm下架后,攻击者迅速替换为包含相同恶意代码的mimelib2。研究人员指出:"这两个npm包滥用智能合约隐藏恶意指令,在受感染系统上安装下载器恶意软件。"

这些软件包伪装成实用程序库,但仅包含实现恶意目的的必要文件。与合法npm工具不同,攻击者并未着力使其看起来有用,而是通过创建看似可信的GitHub仓库来营造合法性假象。

智能合约充当隐蔽C2服务器

传统恶意npm包通常从硬编码URL获取第二阶段恶意软件,防御者可通过源代码审查识别可疑字符串。但ReversingLabs指出:"新手法在于利用以太坊智能合约托管包含恶意指令的URL,以下载第二阶段恶意软件。"

以太坊智能合约------可自动执行的公开去中心化程序------被改造成隐蔽的命令与控制(C2)服务器。通过将恶意指令嵌入智能合约,攻击者确保其基础设施比传统服务器更具弹性且更难摧毁。

报告回顾称:"早在2023年,我们就观察到Python包中存在类似行为模式,它们包含指向秘密GitHub代码片的Base64加密URL,用于执行恶意代码下载。"智能合约代表了该战术的最新演进。

GitHub虚假信誉工程

除npm外,攻击者还在GitHub上投入大量资源实施欺骗。例如solana-trading-bot-v2仓库看似拥有数千次提交、活跃贡献者和大量星标的流行加密货币交易工具。但研究人员发现:"所有这些细节都是伪造的。"

  • 数十个7月同期创建的账户为该仓库加星和分叉,但大多仅包含"Hi there"的README文件
  • 项目的数千次提交主要由琐碎文件变更构成,如重复创建和删除LICENSE文件以模拟持续开发
  • 用户slunfuedrac被确认为向项目依赖项添加colortoolsv2和mimelib2的账户

ethereum-mev-bot-v2、arbitrage-bot和hyperliquid-trading-bot等其他仓库也采用相同虚假活动模式引诱开发者。

防御门槛被抬高

通过将社会工程(伪造GitHub信誉)与技术创新(以太坊智能合约作为C2)相结合,攻击者抬高了防御门槛。依赖开源代码的开发者不能仅凭星标、分叉或提交次数等表面信任信号评估项目。ReversingLabs研究人员警告:"这凸显了恶意行为者在探测开源仓库和开发者时,其检测规避策略正在快速演进。"

相关推荐
卡布叻_星星2 小时前
前端JavaScript笔记之父子组件数据传递,watch用法之对象形式监听器的核心handler函数
前端·javascript·笔记
开发加微信:hedian1163 小时前
短剧小程序开发全攻略:从技术选型到核心实现(前端+后端+运营干货)
前端·微信·小程序
YCOSA20256 小时前
ISO 雨晨 26200.6588 Windows 11 企业版 LTSC 25H2 自用 edge 140.0.3485.81
前端·windows·edge
小白呀白6 小时前
【uni-app】树形结构数据选择框
前端·javascript·uni-app
吃饺子不吃馅6 小时前
深感一事无成,还是踏踏实实做点东西吧
前端·svg·图形学
90后的晨仔7 小时前
Mac 上配置多个 Gitee 账号的完整教程
前端·后端
少年阿闯~~7 小时前
CSS——实现盒子在页面居中
前端·css·html
开发者小天7 小时前
uniapp中封装底部跳转方法
前端·javascript·uni-app
阿波罗尼亚7 小时前
复杂查询:直接查询/子查询/视图/CTE
java·前端·数据库
正义的大古8 小时前
OpenLayers地图交互 -- 章节九:拖拽框交互详解
前端·vue.js·openlayers