加密货币武器化:恶意npm包利用以太坊智能合约实现隐蔽通信

ReversingLabs研究人员发现两个恶意npm包利用以太坊(Ethereum)智能合约隐藏并传播恶意软件。这两个名为colortoolsv2和mimelib2的软件包于2025年7月被识别,展现了开源安全攻防战中的新战术。

恶意软件包伪装成实用工具

攻击活动始于7月7日发布的colortoolsv2。该软件包被npm下架后,攻击者迅速替换为包含相同恶意代码的mimelib2。研究人员指出:"这两个npm包滥用智能合约隐藏恶意指令,在受感染系统上安装下载器恶意软件。"

这些软件包伪装成实用程序库,但仅包含实现恶意目的的必要文件。与合法npm工具不同,攻击者并未着力使其看起来有用,而是通过创建看似可信的GitHub仓库来营造合法性假象。

智能合约充当隐蔽C2服务器

传统恶意npm包通常从硬编码URL获取第二阶段恶意软件,防御者可通过源代码审查识别可疑字符串。但ReversingLabs指出:"新手法在于利用以太坊智能合约托管包含恶意指令的URL,以下载第二阶段恶意软件。"

以太坊智能合约------可自动执行的公开去中心化程序------被改造成隐蔽的命令与控制(C2)服务器。通过将恶意指令嵌入智能合约,攻击者确保其基础设施比传统服务器更具弹性且更难摧毁。

报告回顾称:"早在2023年,我们就观察到Python包中存在类似行为模式,它们包含指向秘密GitHub代码片的Base64加密URL,用于执行恶意代码下载。"智能合约代表了该战术的最新演进。

GitHub虚假信誉工程

除npm外,攻击者还在GitHub上投入大量资源实施欺骗。例如solana-trading-bot-v2仓库看似拥有数千次提交、活跃贡献者和大量星标的流行加密货币交易工具。但研究人员发现:"所有这些细节都是伪造的。"

  • 数十个7月同期创建的账户为该仓库加星和分叉,但大多仅包含"Hi there"的README文件
  • 项目的数千次提交主要由琐碎文件变更构成,如重复创建和删除LICENSE文件以模拟持续开发
  • 用户slunfuedrac被确认为向项目依赖项添加colortoolsv2和mimelib2的账户

ethereum-mev-bot-v2、arbitrage-bot和hyperliquid-trading-bot等其他仓库也采用相同虚假活动模式引诱开发者。

防御门槛被抬高

通过将社会工程(伪造GitHub信誉)与技术创新(以太坊智能合约作为C2)相结合,攻击者抬高了防御门槛。依赖开源代码的开发者不能仅凭星标、分叉或提交次数等表面信任信号评估项目。ReversingLabs研究人员警告:"这凸显了恶意行为者在探测开源仓库和开发者时,其检测规避策略正在快速演进。"

相关推荐
java水泥工4 小时前
基于Echarts+HTML5可视化数据大屏展示-图书馆大屏看板
前端·echarts·html5
半夏陌离4 小时前
SQL 实战指南:电商订单数据分析(订单 / 用户 / 商品表关联 + 统计需求)
java·大数据·前端
子兮曰4 小时前
🚀Vue3异步组件:90%开发者不知道的性能陷阱与2025最佳实践
前端·vue.js·vite
牛十二4 小时前
mac-intel操作系统go-stock项目(股票分析工具)安装与配置指南
开发语言·前端·javascript
whysqwhw4 小时前
Kuikly 扩展原生 API 的完整流程
前端
whysqwhw5 小时前
Hippy 跨平台框架扩展原生自定义组件
前端
OEC小胖胖5 小时前
页面间的导航:`<Link>` 组件和 `useRouter`
前端·前端框架·web·next.js
faimi5 小时前
🚀程序员必收藏!最全Git命令手册:解决90%团队协作难题
前端·gitlab
coooliang6 小时前
【鸿蒙 NEXT】V1迁移V2状态管理
java·前端·harmonyos