Gli hacker ora nascondono malware all'interno degli smarttracEthereum

La ricerca di ReversingLabs ha scoperto una campagna malware che utilizzavatracintelligenti Ethereum per nascondere URL di software dannosi. I risultati hanno rivelato che gli hacker utilizzavano i pacchetti npm colortoolv2 e mimelib2, che fungevano da downloader. 

Una volta installati, i pacchetti npm recuperano il malware di seconda fase da un'infrastruttura di comando e controllo (C2) interrogando gli smarttracEthereum .

La ricercatrice di ReversingLabs, Lucija Valentic, ha descritto l'attacco come creativo, sottolineando che non era mai stato visto prima. L'approccio degli aggressori ha bypassato le scansioni tradizionali che in genere segnalano URL sospetti all'interno degli script dei pacchetti. 

Gli autori delle minacce nascondono il malware in bella vista 

Ethereum smarttracGli sono programmi pubblici che automatizzano le funzioni della blockchain. In questo caso, hanno permesso agli hacker di nascondere codice dannoso in bella vista. I payload dannosi erano nascosti con un semplice file index.js che, una volta eseguito, raggiungeva la blockchain per recuperare i dettagli del server di comando e controllo (C2).

Secondo la di ReversingLabs ricerca, i pacchetti di download non sono standard su npm e l'hosting su blockchain ha segnato una nuova fase nelle tattiche di elusione.

La scoperta ha spinto i ricercatori a scandagliare ampiamente GitHub, dove hanno scoperto che i pacchetti npm erano incorporati in repository che si spacciavano per bot di criptovalute. I bot erano camuffati da Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 e molti altri. I repository erano camuffati da strumenti professionali, in grado ditracpiù commit, container e star, ma in realtà erano semplicemente inventati. 

Secondo la ricerca, gli account che hanno eseguito commit o forkato i repository sono stati creati a luglio e non hanno mostrato alcuna attività di codifica. La maggior parte degli account aveva un file README incorporato nei propri repository. È stato scoperto che il conteggio dei commit era generato artificialmente tramite un processo automatizzato per gonfiare l'attività di codifica. Ad esempio, la maggior parte dei commit registrati riguardava solo modifiche ai file di licenza, piuttosto che aggiornamenti significativi.  

Pasttimerles, un handle utilizzato da un manutentore, è stato utilizzato in particolare per condividere numerosi commit. Slunfuedrac, un altro handle, era associato all'inclusione di pacchetti npm dannosi nei file di progetto.

Una volta individuati, gli hacker hanno continuato a spostare le dipendenze su account diversi. Dopo il rilevamento di colortoosv2, sono passati a mimelibv2 e successivamente a mw3ha31q e cnaovalles, contribuendo rispettivamente all'aumento dei commit e al posizionamento di dipendenze dannose. 

La ricerca di ReversingLabs ha collegato l'attività al Ghost Network di Stargazer, un sistema coordinato di account che aumenta la credibilità dei repository dannosi. L'attacco ha preso di mira gli sviluppatori che cercano strumenti open source per le criptovalute e potrebbero scambiare statistiche GitHub gonfiate per account legittimi.

L'incorporamento di malware nella blockchain Ethereum segna una nuova fase nel rilevamento delle minacce

L'attacco scoperto segue una serie di attacchi mirati all'ecosistema blockchain. Nel marzo 2025, ResearchLabs ha scoperto altri pacchetti npm dannosi che modificavano pacchetti Ethers legittimi con codice che abilitava le reverse shell. Sono stati scoperti i pacchetti npm Ether-provider2 ed ethers-providerZ contenenti codice dannoso che abilitava le reverse shell. 

Diversi casi precedenti, tra cui la compromissione del pacchetto ultralytics di PyPI nel dicembre 2024, sono stati scoperti per la distribuzione di malware per il mining di criptovalute. Altridenthanno riguardato l'utilizzo di piattaforme affidabili come Google Drive e GitHub Gist per mascherare codice dannoso tramite server C2.

Secondo la ricerca, nel 2024 sono stati registrati 23dentnella supply chain correlati alle criptovalute, che vanno dal malware alla violazione delledent. 

L'ultima scoperta sfrutta vecchi trucchi, ma introduce l'approccio deitracEthereum come nuovo meccanismo. Valentic, ricercatore dei Research Labs, ha affermato che la scoperta evidenzia la rapida evoluzione delle strategie di elusione del rilevamento da parte di malintenzionati che prendono di mira progetti e sviluppatori open source. 

La ricerca ha evidenziato l'importanza di verificare la legittimità delle librerie open source prima dell'adozione. Valentic ha avvertito che gli sviluppatori devono valutare attentamente ogni libreria che prendono in considerazione prima di includerla nel loro ambiente di sviluppo. Ha aggiunto che è chiaro che indicatori come stelle, commit e numero di manutentori possono essere facilmente manipolati.    

Entrambident, colortoolsv2 e mimelib2, sono stati rimossi da npm e gli GitHub sono stati chiusi, ma l'attività ha fatto luce su come si sta evolvendo l'ecosistema delle minacce software.