黑客利用以太坊智能合約隱藏惡意軟件：新型威脅分析

ReversingLabs研究團隊近期發現了一起利用以太坊智能合約隱藏惡意軟件URL的攻擊活動。研究顯示，攻擊者使用npm包colortoolv2和mimelib2作爲惡意軟件下載器。

這些npm包安裝後會通過查詢以太坊智能合約來獲取二階段惡意軟件的命令與控制(C2)基礎設施信息。ReversingLabs研究員Lucija Valentic稱這種攻擊方式頗具創意，此前從未出現過。攻擊者的這種手法可以繞過傳統掃描，因爲這些掃描通常只會標記包腳本中的可疑URL。

威脅行爲者巧妙隱藏惡意代碼

以太坊智能合約是公開的區塊鏈自動化程序。在本次攻擊中，黑客利用智能合約將惡意代碼隱藏在公衆視野中。惡意負載被隱藏在一個簡單的index.js文件中，執行時會連接區塊鏈獲取C2服務器詳情。

ReversingLabs的研究表明，下載器包在npm上並不常見，而利用區塊鏈托管則標志着規避檢測技術進入了新階段。

安全啓示: 開發者在使用開源庫時需格外謹慎，特別是涉及加密貨幣相關功能的庫。建議在引入任何第三方依賴前進行全面的安全審核。

攻擊者僞造GitHub倉庫提升信譽

研究人員對GitHub進行了廣泛掃描，發現這些npm包被嵌入在僞裝成加密貨幣交易機器人的倉庫中，如Solana-trading-bot-v2、Hyperliquid-trading-bot-v2等。這些倉庫被僞造成專業工具，擁有多次提交、容器和星標，但實際上都是虛構的。

研究發現，進行提交或分叉這些倉庫的帳戶都是7月份創建的，沒有顯示任何編碼活動。大多數帳戶的倉庫中都嵌入了一個README文件。調查揭示，提交次數是通過自動化過程人爲生成的，以誇大編碼活動。例如，大多數記錄的提交只是對許可文件的修改，而非實質性更新。

安全啓示: CEX用戶和加密貨幣投資者在使用GitHub上的開源工具時，不應僅憑星標數、提交頻率等表面數據判斷項目可信度。建議深入檢查代碼質量和維護狀況。

以太坊區塊鏈惡意軟件嵌入標志威脅檢測新階段

這次發現的攻擊是針對區塊鏈生態系統一系列攻擊中的最新一起。今年3月，ResearchLabs還發現了其他惡意npm包，它們通過植入反向shell代碼來修改合法的Ethers包。

研究顯示，2024年共記錄了23起與加密貨幣相關的供應鏈事件，涉及惡意軟件和憑證泄露等多種形式。

本次發現雖然採用了一些老套路，但引入以太坊合約作爲新機制。Valentic研究員指出，這突顯了惡意行爲者在規避檢測方面的快速進化，他們不斷尋找新方法來滲透開源項目和開發者環境。

安全啓示: 對於CEX平台和用戶來說，這類新型威脅意味着需要加強對智能合約的安全審計，並提高對可能被濫用的合約的監控力度。平台應考慮實施更嚴格的第三方代碼審核機制。

盡管涉案的npm包colortoolsv2和mimelib2已從npm移除，相關GitHub帳戶也已關閉，但這一事件凸顯了軟件威脅生態系統的持續演變。它提醒我們，即使是看似無害的區塊鏈功能也可能被黑客利用，成爲潛在的安全隱患。