黑客利用以太坊智能合约隐藏恶意软件：新型威胁分析

ReversingLabs研究团队近期发现了一起利用以太坊智能合约隐藏恶意软件URL的攻击活动。研究显示，攻击者使用npm包colortoolv2和mimelib2作为恶意软件下载器。

这些npm包安装后会通过查询以太坊智能合约来获取二阶段恶意软件的命令与控制(C2)基础设施信息。ReversingLabs研究员Lucija Valentic称这种攻击方式颇具创意，此前从未出现过。攻击者的这种手法可以绕过传统扫描，因为这些扫描通常只会标记包脚本中的可疑URL。

威胁行为者巧妙隐藏恶意代码

以太坊智能合约是公开的区块链自动化程序。在本次攻击中，黑客利用智能合约将恶意代码隐藏在公众视野中。恶意负载被隐藏在一个简单的index.js文件中，执行时会连接区块链获取C2服务器详情。

ReversingLabs的研究表明，下载器包在npm上并不常见，而利用区块链托管则标志着规避检测技术进入了新阶段。

安全启示: 开发者在使用开源库时需格外谨慎，特别是涉及加密货币相关功能的库。建议在引入任何第三方依赖前进行全面的安全审核。

攻击者伪造GitHub仓库提升信誉

研究人员对GitHub进行了广泛扫描，发现这些npm包被嵌入在伪装成加密货币交易机器人的仓库中，如Solana-trading-bot-v2、Hyperliquid-trading-bot-v2等。这些仓库被伪造成专业工具，拥有多次提交、容器和星标，但实际上都是虚构的。

研究发现，进行提交或分叉这些仓库的账户都是7月份创建的，没有显示任何编码活动。大多数账户的仓库中都嵌入了一个README文件。调查揭示，提交次数是通过自动化过程人为生成的，以夸大编码活动。例如，大多数记录的提交只是对许可文件的修改，而非实质性更新。

安全启示: CEX用户和加密货币投资者在使用GitHub上的开源工具时，不应仅凭星标数、提交频率等表面数据判断项目可信度。建议深入检查代码质量和维护状况。

以太坊区块链恶意软件嵌入标志威胁检测新阶段

这次发现的攻击是针对区块链生态系统一系列攻击中的最新一起。今年3月，ResearchLabs还发现了其他恶意npm包，它们通过植入反向shell代码来修改合法的Ethers包。

研究显示，2024年共记录了23起与加密货币相关的供应链事件，涉及恶意软件和凭证泄露等多种形式。

本次发现虽然采用了一些老套路，但引入以太坊合约作为新机制。Valentic研究员指出，这突显了恶意行为者在规避检测方面的快速进化，他们不断寻找新方法来渗透开源项目和开发者环境。

安全启示: 对于CEX平台和用户来说，这类新型威胁意味着需要加强对智能合约的安全审计，并提高对可能被滥用的合约的监控力度。平台应考虑实施更严格的第三方代码审核机制。

尽管涉案的npm包colortoolsv2和mimelib2已从npm移除，相关GitHub账户也已关闭，但这一事件凸显了软件威胁生态系统的持续演变。它提醒我们，即使是看似无害的区块链功能也可能被黑客利用，成为潜在的安全隐患。