ReversingLabs的研究人员发现，两款NPM软件包利用以太坊（ETH）智能合约隐藏恶意URL，以绕过安全扫描。

攻击者找到了一种新方法，通过以太坊（ETH）智能合约将恶意软件、命令和链接嵌入其中，从而规避安全检测。这种现象表明，针对代码仓库的攻击手段正在不断升级。

数字资产合规公司ReversingLabs的网络安全研究团队，在Node Package Manager（npm）软件包仓库中发现了新型的开源恶意软件，这里是一个大型JavaScript软件包和库的集散地。

ReversingLabs研究员Lucija Valentić在周三的博客文章中提到，这些恶意软件包以一种新颖而巧妙的方式将恶意软件加载到受害设备上，具体通过以太坊（ETH）区块链的智能合约来实现。

Valentić解释说，这两个在7月发布的软件包“colortoolsv2”和“mimelib2”，利用智能合约隐藏恶意命令，以此在受害系统上安装下载器型恶意软件。

为规避安全检测，这些软件包仅作为简单的下载器，并不直接托管恶意链接，而是通过智能合约获取指向命令与控制（C&C）服务器的地址。

一旦安装，这些软件包会查询区块链，以获取用于下载第二阶段恶意软件的URL，而第二阶段恶意软件则携带实际的恶意负载。由于区块链流量看似正常，这使得检测变得更加困难。

新型攻击途径

利用以太坊（ETH）智能合约进行恶意软件攻击并非首次。今年早些时候，朝鲜相关的黑客组织Lazarus Group也曾采用过类似手段。

Valentić指出：“新变化在于利用以太坊（ETH）智能合约托管包含恶意命令的URL，并下载第二阶段恶意软件。” 他补充道：

“这是我们以前未曾见过的，突显出恶意行为者快速发展的检测规避策略，他们正在积极寻觅开源库和开发者。”

精心策划的加密欺诈活动

这些恶意软件包是一个更大且复杂的社会工程欺诈行动的一部分，主要通过GitHub进行运营。

攻击者创建了伪造的加密货币交易机器人仓库，利用虚假提交记录、专门为关注仓库而创建的假用户账户以及多个伪造的维护者账户来模拟活跃开发。同时，他们还利用专业化的项目描述和文档，营造出高度可信的形象。

攻击者手法持续演化

至2024年，安全研究人员已记录23起与加密货币相关的开源仓库恶意攻击。Valentić总结指出，这种最新的攻击手法表明，针对代码仓库的攻击正在演变，攻击者结合区块链技术与复杂的社会工程手段，以绕过传统的检测机制。

攻击者的目标并不仅限于以太坊（ETH）。今年4月，一个伪装成Solana（SOL）交易机器人的虚假GitHub仓库曾用于分发隐蔽恶意软件，以窃取加密钱包凭证。同时，黑客也曾针对“Bitcoinlib”发起攻击，该库旨在简化比特币（BTC）的开发。

相关推荐：Bitmine现持有186万枚ETH，约占以太坊总供应量的1.55%