不良行为者正在利用以太坊智能合约部署恶意软件：ReversingLabs

不良行为者已开始利用以太坊智能合约部署恶意软件与代码，这种新型技术可规避传统安全扫描。

• 涉事npm包通过以太坊智能合约隐藏恶意载荷
• 研究人员认为这属于主要通过GitHub运作的大型攻击活动

ReversingLabs研究人员发现新型开源恶意软件正通过Node包管理器（NPM）仓库传播，该软件使用混淆脚本和智能合约获取命令控制服务器URL，向受感染系统投递恶意载荷。

NPM仓库是广泛使用的JavaScript库和工具分发平台。过去几年间，随着黑客通过此手段诱骗开发者将恶意依赖项集成至项目，该平台日益成为软件供应链攻击目标。

ReversingLabs指出，名为colortoolsv2和mimelib2的两个npm包中潜藏着新型开源恶意软件。这些包利用以太坊智能合约远程加载恶意指令，并在受感染系统安装下载器恶意软件。

两个软件包均于7月首次出现，表面看是简单下载器。但其并非直接托管恶意链接，而是在安装时通过区块链查询获取URL。

随后，这些URL会连接至攻击者控制的命令控制服务器，投递第二阶段载荷。此类恶意载荷通常用于窃取敏感数据、安装远程访问工具，或作为更大规模攻击的入口点。

ReversingLabs研究人员认为，这些软件包发布属于针对npm、GitHub等开源生态系统的广泛攻击活动。攻击者依赖社会工程和欺诈性项目设置，诱使开发者将恶意代码集成至实际应用程序。

威胁行为者长期采用更难检测的基础设施级战术。ReversingLabs今年早前报告曾发现木马化npm包会扫描系统内Atomic、Exodus等钱包应用，并静默将交易重定向至攻击者控制地址。

另据观察，臭名昭著的朝鲜黑客组织Lazarus今年初也曾部署恶意npm包。

安全公司Slowmist在2024年披露的另一起事件中，发现诈骗者利用恶意以太坊远程过程调用（RPC）功能欺骗imToken钱包用户。

但报告强调，与既往攻击向量不同，ReversingLabs发现的新活动通过"以太坊智能合约托管恶意指令所在URL"实现技术区隔。

ReversingLabs敦促开发者在处理npm库和第三方包时保持警惕。

"开发者必须严格评估每个代码库[...]，这意味着需要深入审查开源包及其维护者：不能仅关注维护者数量、提交次数和下载量等表面数据，而要判断软件包及背后开发者是否名副其实。"