A pesquisa da ReversingLabs revelou uma campanha de malware que utilizavatracinteligentes Ethereum para ocultar URLs de software malicioso. As descobertas revelaram que os hackers usaram os pacotes npm colortoolv2 e mimelib2, que atuavam como programas de download.
Após a instalação dos pacotes npm, eles buscam malware de segundo estágio em uma infraestrutura de comando e controle (C2) consultandotracinteligentes Ethereum .
A pesquisadora da ReversingLabs, Lucija Valentic, descreveu o ataque como criativo, observando que nunca havia sido visto antes. A abordagem dos atacantes contornou as varreduras tradicionais que normalmente sinalizam URLs suspeitos dentro de scripts de pacotes.
Os agentes maliciosos escondem malware à vista de todos
Os trac inteligentes Ethereum são programas públicos que automatizam funções da blockchain. Nesse caso, eles permitiram que hackers ocultassem código malicioso à vista de todos. As cargas maliciosas foram escondidas em um simples arquivo index.js que, ao ser executado, acessava a blockchain para obter os detalhes do servidor de comando e controle (C2).
De acordo com a pesquisa da ReversingLabs , os pacotes de download não são padrão no npm, e a hospedagem de blockchain marcou uma nova etapa nas táticas de evasão.
A descoberta levou os pesquisadores a vasculharem o GitHub, onde descobriram que os pacotes npm estavam embutidos em repositórios que se passavam por bots de criptomoedas. Os bots estavam disfarçados como Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 e muitos outros. Os repositórios, por sua vez, eram apresentados como ferramentas profissionais,tracmúltiplos commits, contêineres e estrelas, mas, na realidade, eram apenas criações falsas.
De acordo com a pesquisa, as contas que realizaram commits ou forks dos repositórios foram criadas em julho e não apresentaram nenhuma atividade de programação. A maioria das contas tinha um arquivo README incorporado em seus repositórios. Descobriu-se que a contagem de commits foi gerada artificialmente por meio de um processo automatizado para inflar a atividade de programação. Por exemplo, a maioria dos commits registrados eram apenas alterações em arquivos de licença, e não atualizações significativas.
Pasttimerles, um pseudônimo usado por um dos mantenedores, foi notavelmente utilizado para compartilhar vários commits. Slunfuedrac, outro pseudônimo, estava ligado à inclusão de pacotes npm maliciosos nos arquivos do projeto.
Uma vez detectados, os hackers continuaram a trocar as dependências entre diferentes contas. Depois que colortoosv2 foi detectado, eles mudaram para mimelibv2 e, posteriormente, para mw3ha31q e cnaovalles, o que contribuiu para o aumento do número de commits e para a inserção de dependências maliciosas, respectivamente.
A pesquisa da ReversingLabs vinculou a atividade à Ghost Network do Stargazer, um sistema coordenado de contas que aumenta a credibilidade de repositórios maliciosos. O ataque teve como alvo desenvolvedores que buscam ferramentas de código aberto para criptomoedas e que poderiam confundir estatísticas infladas do GitHub com contas legítimas.
A incorporação de malware na blockchain Ethereum marca uma nova fase na detecção de ameaças
O ataque descoberto segue uma série de ataques direcionados ao ecossistema blockchain. Em março de 2025, a ResearchLabs descobriu outros pacotes npm maliciosos que modificavam pacotes legítimos do Ether com código que permitia a criação de shells reversos. Os pacotes npm Ether-provider2 e ethers-providerZ, que continham código malicioso que permitia a criação de shells reversos, foram descobertos.
Diversos casos anteriores, incluindo a violação do pacote ultralytics do PyPI em dezembro de 2024, também foram revelados como responsáveis pela distribuição de malware para mineração de criptomoedas. Outrosdentincluíram o uso de plataformas confiáveis, como Google Drive e GitHub Gist, para mascarar código malicioso por meio de servidores de comando e controle (C2).
Segundo a pesquisa, 23dentrelacionados à cadeia de suprimentos de criptomoedas foram registrados em 2024, variando de malware a violaçõesdent.
A descoberta mais recente emprega truques antigos, mas introduz a abordagem detracEthereum como um novo mecanismo. Valentic, pesquisador do Research Labs, afirmou que a descoberta destaca a rápida evolução das estratégias de evasão de detecção por agentes maliciosos que atacam projetos e desenvolvedores de código aberto.
A pesquisa destacou a importância de verificar a legitimidade das bibliotecas de código aberto antes da adoção. Valentic alertou que os desenvolvedores devem avaliar cada biblioteca que estão considerando antes de incluí-la em seu ambiente de desenvolvimento. Ela acrescentou que ficou claro que indicadores como estrelas, commits e número de mantenedores podem ser facilmente manipulados.
Ambos dent , colortoolsv2 e mimelib2, foram removidos do npm e as do GitHub foram encerradas, mas a atividade lançou luz sobre como o ecossistema de ameaças de software está evoluindo.
