Хакеры теперь скрывают вредоносное ПО внутри смарт-tracEthereum

Исследование ReversingLabs выявило вредоносную кампанию, которая использовала смарт-tracEthereum для сокрытия URL-адресов вредоносного программного обеспечения. Результаты показали, что хакеры использовали пакеты npm colortoolv2 и mimelib2, которые выступали в качестве загрузчиков. 

После установки пакетов npm они загружают вредоносное ПО второго этапа из инфраструктуры управления и контроля (C2), запрашивая смарт-tracEthereum .

Исследователь ReversingLabs Луция Валентич охарактеризовала атаку как креативную, отметив, что она ранее не встречалась. Подход злоумышленников обошел традиционные методы сканирования, которые обычно выявляют подозрительные URL-адреса внутри скриптов пакетов. 

Злоумышленники скрывают вредоносное ПО на виду у всех 

Ethereum Смарт-контрактыtracэто публичные программы, автоматизирующие функции блокчейна. В данном случае они позволили хакерам скрыть вредоносный код на виду у всех. Вредоносные программы были замаскированы простым файлом index.js, который при выполнении обращался к блокчейну для получения данных о сервере управления и контроля (C2).

Согласно ReversingLabs исследованию, пакеты для загрузки не являются стандартными в npm, а хостинг на основе блокчейна ознаменовал новый этап в тактике обхода защиты.

Это открытие побудило исследователей провести масштабное сканирование GitHub, где они обнаружили, что пакеты npm были встроены в репозитории, маскирующиеся под криптовалютных ботов. Боты были замаскированы под Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 и многие другие. Репозитории были представлены как профессиональные инструменты дляtracмножества коммитов, контейнеров и звезд, но на самом деле они были просто сфабрикованы. 

Согласно исследованию, учетные записи, которые делали коммиты или форки репозиториев, были созданы в июле и не демонстрировали никакой активности в коде. У большинства учетных записей в репозиториях был встроен файл README. Было обнаружено, что количество коммитов было искусственно сгенерировано с помощью автоматизированного процесса для завышения активности в коде. Например, большинство зарегистрированных коммитов представляли собой просто изменения в лицензионном файле, а не значимые обновления.  

Pasttimerles, никнейм, используемый одним из сопровождающих проекта, использовался, в частности, для обмена множеством коммитов. Slunfuedrac, другой никнейм, был связан с включением вредоносных npm-пакетов в файлы проекта.

После обнаружения хакеры продолжали переключать зависимости на разные учетные записи. После обнаружения colortoosv2 они переключились на mimelibv2, а затем на mw3ha31q и cnaovalles, что способствовало раздуванию количества коммитов и размещению вредоносных зависимостей соответственно. 

Исследование ReversingLabs связало эту активность с Ghost Network от Stargazer — скоординированной системой учетных записей, повышающей доверие к вредоносным репозиториям. Атака была направлена ​​на разработчиков, которые ищут инструменты для работы с криптовалютами с открытым исходным кодом и могут ошибочно принять завышенную статистику GitHub за легитимные учетные записи.

Внедрение вредоносного ПО в блокчейн Ethereum знаменует собой новый этап в обнаружении угроз

Раскрытая атака является продолжением серии атак, направленных на экосистему блокчейна. В марте 2025 года ResearchLabs обнаружила другие вредоносные npm-пакеты, которые вносили изменения в легитимные пакеты Ethers, добавляя код, позволяющий использовать обратные оболочки. Были обнаружены npm-пакеты Ether-provider2 и ethers-providerZ, содержащие вредоносный код, позволяющий использовать обратные оболочки. 

В ходе расследования были выявлены несколько более ранних случаев, включая взлом пакета ultralytics от PyPI в декабре 2024 года, которые также использовались для распространения вредоносного ПО для майнинга криптовалюты. Среди другихdentупоминалось использование доверенных платформ, таких как Google Drive и GitHub Gist, для маскировки вредоносного кода через C2-серверы.

Согласно исследованию, в 2024 году было зафиксировано 23dentв цепочках поставок, связанных с криптовалютами, от вредоносного ПО до утечекdentданных. 

Последнее открытие использует старые приемы, но представляет подход сtracEthereum в качестве нового механизма. Валентик, исследователь из Research Labs, заявил, что это открытие подчеркивает быструю эволюцию стратегий обхода обнаружения со стороны злоумышленников, которые троллят проекты с открытым исходным кодом и разработчиков. 

Исследование подчеркнуло важность проверки легитимности библиотек с открытым исходным кодом перед их внедрением. Валентик предупредила, что разработчики должны оценивать каждую библиотеку, которую они рассматривают, прежде чем включать ее в свою среду разработки. Она добавила, что очевидно, что такие показатели, как количество звезд, коммитов и число сопровождающих, могут быть легко сфальсифицированы.    

Обаdentпакета npm, colortoolsv2 и mimelib2, были впоследствии удалены из npm, а соответствующие GitHub закрыты, но эта активность пролила свет на то, как развивается экосистема угроз для программного обеспечения.