Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
- В ходе исследования ReversingLabs былиdentnpm-пакеты clortoolv2 и mimelib2, которые использовали смарт-tracEthereum для сокрытия URL-адресов вредоносного ПО.
- Активность связывают с сетью Ghost Network от Stargazer, и исследователи настаивают на необходимости проявлять осторожность при выборе библиотек с открытым исходным кодом.
- В рамках кампании использовались поддельные репозитории GitHub, замаскированные под ботов для торговли криптовалютой, с непроверенными звездами, коммитами и сопровождающими.
Исследование ReversingLabs выявило вредоносную кампанию, которая использовала смарт-tracEthereum для сокрытия URL-адресов вредоносного программного обеспечения. Результаты показали, что хакеры использовали пакеты npm colortoolv2 и mimelib2, которые выступали в качестве загрузчиков.
После установки пакетов npm они загружают вредоносное ПО второго этапа из инфраструктуры управления и контроля (C2), запрашивая смарт-tracEthereum .
Исследователь ReversingLabs Луция Валентич охарактеризовала атаку как креативную, отметив, что она ранее не встречалась. Подход злоумышленников обошел традиционные методы сканирования, которые обычно выявляют подозрительные URL-адреса внутри скриптов пакетов.
Злоумышленники скрывают вредоносное ПО на виду у всех
Ethereum Смарт-контрактыtracэто публичные программы, автоматизирующие функции блокчейна. В данном случае они позволили хакерам скрыть вредоносный код на виду у всех. Вредоносные программы были замаскированы простым файлом index.js, который при выполнении обращался к блокчейну для получения данных о сервере управления и контроля (C2).
Согласно ReversingLabs исследованию, пакеты для загрузки не являются стандартными в npm, а хостинг на основе блокчейна ознаменовал новый этап в тактике обхода защиты.
Это открытие побудило исследователей провести масштабное сканирование GitHub, где они обнаружили, что пакеты npm были встроены в репозитории, маскирующиеся под криптовалютных ботов. Боты были замаскированы под Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 и многие другие. Репозитории были представлены как профессиональные инструменты дляtracмножества коммитов, контейнеров и звезд, но на самом деле они были просто сфабрикованы.
Согласно исследованию, учетные записи, которые делали коммиты или форки репозиториев, были созданы в июле и не демонстрировали никакой активности в коде. У большинства учетных записей в репозиториях был встроен файл README. Было обнаружено, что количество коммитов было искусственно сгенерировано с помощью автоматизированного процесса для завышения активности в коде. Например, большинство зарегистрированных коммитов представляли собой просто изменения в лицензионном файле, а не значимые обновления.
Pasttimerles, никнейм, используемый одним из сопровождающих проекта, использовался, в частности, для обмена множеством коммитов. Slunfuedrac, другой никнейм, был связан с включением вредоносных npm-пакетов в файлы проекта.
После обнаружения хакеры продолжали переключать зависимости на разные учетные записи. После обнаружения colortoosv2 они переключились на mimelibv2, а затем на mw3ha31q и cnaovalles, что способствовало раздуванию количества коммитов и размещению вредоносных зависимостей соответственно.
Исследование ReversingLabs связало эту активность с Ghost Network от Stargazer — скоординированной системой учетных записей, повышающей доверие к вредоносным репозиториям. Атака была направлена на разработчиков, которые ищут инструменты для работы с криптовалютами с открытым исходным кодом и могут ошибочно принять завышенную статистику GitHub за легитимные учетные записи.
Внедрение вредоносного ПО в блокчейн Ethereum знаменует собой новый этап в обнаружении угроз
Раскрытая атака является продолжением серии атак, направленных на экосистему блокчейна. В марте 2025 года ResearchLabs обнаружила другие вредоносные npm-пакеты, которые вносили изменения в легитимные пакеты Ethers, добавляя код, позволяющий использовать обратные оболочки. Были обнаружены npm-пакеты Ether-provider2 и ethers-providerZ, содержащие вредоносный код, позволяющий использовать обратные оболочки.
В ходе расследования были выявлены несколько более ранних случаев, включая взлом пакета ultralytics от PyPI в декабре 2024 года, которые также использовались для распространения вредоносного ПО для майнинга криптовалюты. Среди другихdentупоминалось использование доверенных платформ, таких как Google Drive и GitHub Gist, для маскировки вредоносного кода через C2-серверы.
Согласно исследованию, в 2024 году было зафиксировано 23dentв цепочках поставок, связанных с криптовалютами, от вредоносного ПО до утечекdentданных.
Последнее открытие использует старые приемы, но представляет подход сtracEthereum в качестве нового механизма. Валентик, исследователь из Research Labs, заявил, что это открытие подчеркивает быструю эволюцию стратегий обхода обнаружения со стороны злоумышленников, которые троллят проекты с открытым исходным кодом и разработчиков.
Исследование подчеркнуло важность проверки легитимности библиотек с открытым исходным кодом перед их внедрением. Валентик предупредила, что разработчики должны оценивать каждую библиотеку, которую они рассматривают, прежде чем включать ее в свою среду разработки. Она добавила, что очевидно, что такие показатели, как количество звезд, коммитов и число сопровождающих, могут быть легко сфальсифицированы.
Обаdentпакета npm, colortoolsv2 и mimelib2, были впоследствии удалены из npm, а соответствующие GitHub закрыты, но эта активность пролила свет на то, как развивается экосистема угроз для программного обеспечения.
Не просто читайте новости о криптовалютах. Разберитесь в них. Подпишитесь на нашу рассылку. Это бесплатно.
КУРС
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)