黑客现在将恶意软件隐藏在 Ethereum 智能trac中

ReversingLabs 的研究揭露了一起利用 Ethereum 智能trac隐藏恶意软件 URL 的恶意软件攻击活动。研究结果显示，黑客使用了 npm 包 colortoolv2 和 mimelib2，这两个包充当下载器的角色。. 

一旦 npm 包安装完毕，它们就会通过查询 Ethereum 智能trac，从命令与控制基础设施 (C2) 获取第二阶段恶意软件。.

ReversingLabs 研究员 Lucija Valentic 形容此次攻击极具创意，并指出此前从未出现过此类攻击。攻击者的方法绕过了通常会标记软件包脚本中可疑 URL 的传统扫描机制。. 

威胁行为者将恶意软件隐藏在众目睽睽之下。 

Ethereum 智能合约trac程序 。在本案例中，它们却让黑客得以将恶意代码隐藏在显眼的位置。恶意代码被隐藏在一个简单的 index.js 文件中，该文件执行后会连接到区块链以获取命令与控制 (C2) 服务器的详细信息。

根据 ReversingLabs 的 研究，下载器包在 npm 上并非标准配置，区块链托管标志着规避策略进入了一个新阶段。

这一发现促使研究人员对 GitHub 进行广泛扫描，结果发现这些 npm 包被嵌入到伪装成加密货币机器人的代码仓库中。这些机器人伪装成 Solana-trading-bot-v2、Hyperliquid-trading-bot-v2 等等。这些代码仓库伪装成专业的工具，能够trac多个提交、容器和 star，但实际上，它们都是伪造的。. 

研究发现，提交代码或创建代码仓库的账户均创建于7月份，且没有任何编码活动。大多数账户的代码仓库中都嵌入了README文件。研究还发现，提交次数是通过自动化流程人为生成的，目的是虚增编码活动。例如，记录的大多数提交仅仅是许可证文件的更改，而非实质性的更新。.  

Pasttimerles 是维护者之一使用的用户名，值得注意的是，他曾多次使用该用户名提交代码。另一个用户名 Slunfuedrac 则与将恶意 npm 包引入项目文件有关。.

一旦被发现，黑客便不断将依赖项切换到不同的账户。在检测到 colortoosv2 后，他们又切换到 mimelibv2，随后又切换到 mw3ha31q 和 cnaovalles，分别导致了提交数量的增加和恶意依赖项的植入。. 

ReversingLabs 的研究将此次活动与 Stargazer 的 Ghost Network 联系起来。Ghost Network 是一个协调的账户系统，旨在提升恶意代码库的可信度。此次攻击的目标是那些寻求开源加密货币工具的开发者，他们可能会将虚高的 GitHub 统计数据误认为是合法账户。.

Ethereum 区块链恶意软件嵌入标志着威胁检测进入了一个新阶段

此次泄露的攻击是针对区块链生态系统的一系列攻击之一。2025年3月，ResearchLabs 发现了其他恶意 npm 包，这些包通过植入恶意代码来修改合法的 Ethers 包，从而启用反向 shell。Ether-provider2 和 ethers-providerZ 这两个 npm 包也被发现包含启用反向 shell 的恶意代码。. 

此前还有几起案例被曝光，其中包括2024年12月PyPI的ultralytics软件包被攻破，用于传播加密货币挖矿恶意软件。其他dent还包括利用Google Drive和GitHub Gist等可信平台，通过C2服务器掩盖恶意代码。.

根据研究，2024 年记录了 23 起与加密货币相关的供应链dent，包括恶意软件和dent泄露。. 

最新发现虽然沿用了旧伎俩，但引入了 Ethereumtrac方法作为一种新机制。研究实验室的研究员瓦伦蒂克表示，这一发现凸显了恶意行为者针对开源项目和开发者，其检测规避策略的快速演变。. 

这项研究强调了在采用开源库之前验证其合法性的重要性。Valentic 警告说，开发者在将每个库纳入开发环境之前，必须对其进行评估。她补充说，诸如星标数、提交次数和维护者数量等指标显然很容易被操纵。.    

这两个dent识别的 npm 包 colortoolsv2 和 mimelib2 都已从 npm 中移除，相关的 GitHub 帐户也已关闭，但这一事件揭示了软件威胁生态系统的演变情况。