Hacker verstecken jetzt Schadsoftware in Ethereum Smarttrac

Die Recherchen von ReversingLabs deckten eine Malware-Kampagne auf, die Ethereum Smarttracnutzte, um URLs schädlicher Software zu verschleiern. Die Ergebnisse zeigten, dass die Hacker die npm-Pakete colortoolv2 und mimelib2 als Downloader einsetzten. 

Sobald die npm-Pakete installiert sind, laden sie Malware der zweiten Stufe von einer Command-and-Control-Infrastruktur (C2) herunter, indem sie Ethereum Smarttracabfragen.

Die ReversingLabs-Forscherin Lucija Valentic bezeichnete den Angriff als kreativ und merkte an, dass er bisher unbekannt sei. Die Angreifer umgingen herkömmliche Scans, die normalerweise verdächtige URLs in Paketskripten erkennen. 

Bedrohungsakteure verstecken Malware im offenen Gelände 

Ethereum Smart ContractstracProgramme , die Blockchain-Funktionen automatisieren. In diesem Fall ermöglichten sie Hackern, Schadcode unauffällig zu verbergen. Die schädlichen Nutzdaten waren in einer einfachen index.js-Datei versteckt, die nach ihrer Ausführung die Blockchain kontaktierte, um die Zugangsdaten des Command-and-Control-Servers (C2-Server) abzurufen.

Laut einer von ReversingLabs Studiesind Downloader-Pakete auf npm nicht standardmäßig enthalten, und das Hosting auf Blockchain-Basis markierte eine neue Phase bei den Umgehungstaktiken.

Diese Entdeckung veranlasste Forscher zu einer umfassenden Suche auf GitHub. Dabei stellten sie fest, dass die npm-Pakete in Repositories eingebettet waren, die sich als Kryptowährungs-Bots ausgaben. Die Bots tarnten sich unter Namen wie Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 und vielen weiteren. Die Repositories gaben sich als professionelle Tools aus undtraczahlreiche Commits, Container und Sterne auf, waren aber in Wirklichkeit gefälscht. 

Laut der Untersuchung wurden die Accounts, die Commits durchführten oder Repositories forkten, im Juli erstellt und zeigten keine Programmieraktivität. Die meisten Accounts hatten eine README-Datei in ihren Repositories eingebettet. Es stellte sich heraus, dass die Commit-Zahlen künstlich durch einen automatisierten Prozess generiert wurden, um die Programmieraktivität künstlich zu erhöhen. So handelte es sich bei den meisten protokollierten Commits beispielsweise lediglich um Änderungen an der Lizenzdatei und nicht um sinnvolle Aktualisierungen.  

Pasttimerles, ein Benutzername eines Maintainers, wurde insbesondere für das Teilen zahlreicher Commits verwendet. Slunfuedrac, ein weiterer Benutzername, war mit dem Einbinden der schädlichen npm-Pakete in die Projektdateien verbunden.

Nach ihrer Entdeckung wechselten die Hacker ständig die Abhängigkeiten zwischen verschiedenen Accounts. Nachdem colortoosv2 entdeckt worden war, wechselten sie zu mimelibv2 und anschließend zu mw3ha31q und cnaovalles, was zur Erhöhung der Commit-Anzahl bzw. zur Platzierung schädlicher Abhängigkeiten beitrug. 

Die Recherchen von ReversingLabs brachten die Aktivitäten mit Stargazers Ghost Network in Verbindung, einem koordinierten System von Konten, das die Glaubwürdigkeit schädlicher Repositories erhöht. Der Angriff zielte auf Entwickler ab, die nach Open-Source-Tools für Kryptowährungen suchen und möglicherweise aufgeblähte GitHub-Statistiken mit legitimen Konten verwechseln.

Das Einbetten von Malware in Ethereum -Blockchain markiert eine neue Phase in der Bedrohungserkennung

Der aufgedeckte Angriff reiht sich in eine Reihe von Angriffen auf das Blockchain-Ökosystem ein. Im März 2025 entdeckte ResearchLabs weitere schädliche npm-Pakete, die legitime Ethers-Pakete mit Code patchten, der Reverse-Shells ermöglichte. Die npm-Pakete Ether-provider2 und ethers-providerZ enthielten Schadcode, der Reverse-Shells ermöglichte. 

Mehrere frühere Fälle, darunter die Kompromittierung des PyPI-Pakets ultralytics im Dezember 2024, wurden ebenfalls als Verbreitung von Kryptowährungs-Mining-Malware aufgedeckt. Weiteredentumfassten die Nutzung vertrauenswürdiger Plattformen wie Google Drive und GitHub Gist zur Verschleierung von Schadcode über C2-Server.

Laut der Studie wurden im Jahr 2024 23dentim Zusammenhang mit der Lieferkette von Kryptowährungen registriert, die von Malware bis hin zudentreichten. 

Die jüngste Entdeckung nutzt zwar altbekannte Tricks, führt aber den Ansatz der Ethereum -tracals neuen Mechanismus ein. Valentic, Forscher bei den Research Labs, erklärte, die Entdeckung verdeutliche die rasante Entwicklung von Strategien zur Umgehung der Erkennung durch Angreifer, die Open-Source-Projekte und -Entwickler ins Visier nehmen. 

Die Studie unterstrich die Wichtigkeit, die Legitimität von Open-Source-Bibliotheken vor deren Verwendung zu überprüfen. Valentic warnte davor, dass Entwickler jede Bibliothek, die sie in Betracht ziehen, sorgfältig prüfen müssen, bevor sie diese in ihre Entwicklungsumgebung integrieren. Sie fügte hinzu, dass Indikatoren wie Sterne, Commits und die Anzahl der Maintainer leicht manipuliert werden können.    

Die beidendentnpm-Pakete colortoolsv2 und mimelib2 wurden inzwischen von npm entfernt und die zugehörigen GitHub- Konten geschlossen. Die Aktivitäten haben jedoch verdeutlicht, wie sich das Ökosystem der Softwarebedrohungen weiterentwickelt.