Des pirates informatiques dissimulent désormais des logiciels malveillants dans lestracintelligents Ethereum

Les recherches de ReversingLabs ont mis au jour une campagne de logiciels malveillants utilisant destracintelligents Ethereum pour dissimuler des URL de logiciels malveillants. Les résultats ont révélé que les pirates utilisaient les packages npm colortoolv2 et mimelib2, qui agissaient comme téléchargeurs. 

Une fois les packages npm installés, ils récupèrent le logiciel malveillant de deuxième étape à partir d'une infrastructure de commande et de contrôle (C2) en interrogeanttracintelligents Ethereum .

Lucija Valentic, chercheuse chez ReversingLabs, a qualifié l'attaque d'ingénieuse, soulignant qu'elle était inédite. L'approche des attaquants a permis de contourner les analyses classiques qui détectent généralement les URL suspectes dans les scripts des paquets. 

Les acteurs malveillants dissimulent des logiciels malveillants à la vue de tous 

Ethereum intelligentstracLes sont des programmes publics qui automatisent les fonctions de la blockchain. Dans ce cas précis, ils ont permis à des pirates de dissimuler du code malveillant à la vue de tous. Les charges utiles malveillantes étaient cachées dans un simple fichier index.js qui, une fois exécuté, accédait à la blockchain pour récupérer les informations de connexion du serveur de commande et de contrôle (C2).

D'après de ReversingLabs les recherches, les packages de téléchargement ne sont pas standard sur npm, et l'hébergement sur blockchain a marqué une nouvelle étape dans les tactiques d'évasion.

Cette découverte a incité les chercheurs à mener une vaste analyse sur GitHub, où ils ont constaté que les paquets npm étaient dissimulés dans des dépôts se faisant passer pour des bots de trading de cryptomonnaies. Ces bots étaient déguisés en Solana-trading-bot-v2, Hyperliquid-trading-bot-v2, et bien d'autres noms. Les dépôts, présentés comme des outils professionnels capables detracde nombreux commits, conteneurs et étoiles, étaient en réalité entièrement fictifs. 

D'après l'étude, les comptes ayant effectué des commits ou créé des forks des dépôts ont été créés en juillet et n'ont montré aucune activité de développement. La plupart de ces comptes contenaient un fichier README dans leurs dépôts. Il a été découvert que le nombre de commits était artificiellement généré par un processus automatisé afin de gonfler artificiellement l'activité de développement. Par exemple, la plupart des commits enregistrés se limitaient à des modifications de fichiers de licence, et non à des mises à jour significatives.  

Pasttimerles, un pseudonyme utilisé par un mainteneur, a notamment servi à partager de nombreux commits. Slunfuedrac, un autre pseudonyme, était lié à l'inclusion de paquets npm malveillants dans les fichiers du projet.

Une fois détectés, les pirates ont continuellement modifié les dépendances vers différents comptes. Après la détection de colortoosv2, ils sont passés à mimelibv2, puis à mw3ha31q et cnaovalles, contribuant ainsi à l'augmentation du nombre de commits et à l'insertion de dépendances malveillantes. 

Les recherches de ReversingLabs ont établi un lien entre cette activité et le réseau Ghost de Stargazer, un système coordonné de comptes qui renforce la crédibilité des dépôts malveillants. L'attaque ciblait les développeurs recherchant des outils open source pour les cryptomonnaies, susceptibles de confondre des statistiques GitHub gonflées avec des comptes légitimes.

L'intégration de logiciels malveillants dans la blockchain Ethereum marque une nouvelle étape dans la détection des menaces

Cette attaque fait suite à une série d'attaques ciblant l'écosystème blockchain. En mars 2025, ResearchLabs a découvert d'autres paquets npm malveillants qui modifiaient des paquets Ethers légitimes avec du code permettant l'accès à des shells inversés. Les paquets npm Ether-provider2 et ethers-providerZ, contenant ce code malveillant, ont ainsi été identifiés. 

Plusieurs cas antérieurs, dont la compromission du package ultralytics de PyPI en décembre 2024, ont également été révélés comme ayant servi à diffuser des logiciels malveillants de minage de cryptomonnaies. D'autresdentont notamment impliqué l'utilisation de plateformes de confiance telles que Google Drive et GitHub Gist pour masquer du code malveillant via des serveurs de commande et de contrôle (C2).

Selon cette étude, 23dentliés à la chaîne d'approvisionnement des cryptomonnaies ont été enregistrés en 2024, allant des logiciels malveillants aux violations de données dedent. 

Cette découverte récente utilise des techniques éprouvées, mais introduit l'approche destracEthereum comme nouveau mécanisme. Valentic, chercheur au sein des laboratoires de recherche, a déclaré que cette découverte met en lumière l'évolution rapide des stratégies de contournement de la détection mises en œuvre par des acteurs malveillants ciblant les projets open source et leurs développeurs. 

L'étude a mis en lumière l'importance de vérifier la légitimité des bibliothèques open source avant leur adoption. Valentic a averti que les développeurs doivent évaluer chaque bibliothèque envisagée avant de l'intégrer à leur environnement de développement. Elle a ajouté qu'il est évident que des indicateurs tels que le nombre d'étoiles, de contributions et de mainteneurs peuvent être facilement manipulés.    

Les deuxdent, colortoolsv2 et mimelib2, ont depuis été retirés de npm et les GitHub ont été fermés, mais cette activité a mis en lumière la façon dont l'écosystème des menaces logicielles évolue.