Inteligentne kontrakty Ethereum po cichu rozprzestrzeniają złośliwe oprogramowanie javascript, wymierzone w deweloperów

Hakerzy wykorzystują smart kontrakty Ethereum do ukrywania złośliwego oprogramowania w pozornie nieszkodliwych paczkach npm, stosując taktykę, która zamienia blockchain w odporny kanał dowodzenia i utrudnia usuwanie zagrożeń.

ReversingLabs opisał dwie paczki npm, colortoolsv2 i mimelib2, które odczytują kontrakt na Ethereum, aby pobrać adres URL do drugiego etapu pobierania, zamiast twardo kodować infrastrukturę w samej paczce. Takie rozwiązanie ogranicza statyczne wskaźniki i pozostawia mniej śladów podczas przeglądu kodu źródłowego.

Paczki pojawiły się w lipcu i zostały usunięte po ujawnieniu. ReversingLabs prześledził ich promocję do sieci repozytoriów GitHub podszywających się pod boty tradingowe, w tym solana-trading-bot-v2, z fałszywymi gwiazdkami, sztucznie napompowaną historią commitów i fikcyjnymi opiekunami, tworząc warstwę społeczną, która kierowała deweloperów do złośliwego łańcucha zależności.

Liczba pobrań była niska, ale metoda ma znaczenie. Według The Hacker News, colortoolsv2 został pobrany siedem razy, a mimelib2 raz, co nadal wpisuje się w oportunistyczne ataki na deweloperów. Snyk i OSV oznaczyły obie paczki jako złośliwe, umożliwiając szybkie sprawdzenie zespołom audytującym historyczne buildy.

Historia się powtarza

Kanał dowodzenia on-chain przypomina szerszą kampanię, którą badacze śledzili pod koniec 2024 roku w setkach paczek npm typu typosquat. W tej fali paczki wykonywały skrypty install lub preinstall, które odpytywały kontrakt Ethereum, pobierały bazowy adres URL, a następnie pobierały ładunki specyficzne dla systemu operacyjnego o nazwach node-win.exe, node-linux lub node-macos.

Checkmarx udokumentował główny kontrakt pod adresem 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b powiązany z parametrem portfela 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, z zaobserwowaną infrastrukturą pod 45.125.67.172:1337 i 193.233.201.21:3001, między innymi.

Deobfuskacja Phylum pokazuje wywołanie ethers.js do getString(address) na tym samym kontrakcie i rejestruje rotację adresów C2 w czasie, co sprawia, że stan kontraktu staje się ruchomym wskaźnikiem do pobierania złośliwego oprogramowania. Socket niezależnie zmapował falę typosquatów i opublikował pasujące IOC, w tym ten sam kontrakt i portfel, potwierdzając spójność między źródłami.

Stara podatność wciąż się utrzymuje

ReversingLabs określa paczki z 2025 roku jako kontynuację techniki, a nie skali, z tą różnicą, że smart kontrakt przechowuje adres URL do kolejnego etapu, a nie sam ładunek.

Dystrybucja przez GitHub, w tym fałszywi stargazerzy i commity typu chore, ma na celu przejście pobieżnej weryfikacji i wykorzystanie automatycznych aktualizacji zależności w klonach fałszywych repozytoriów.

Projekt przypomina wcześniejsze wykorzystanie platform trzecich do pośrednictwa, na przykład GitHub Gist lub przechowywanie w chmurze, ale przechowywanie on-chain dodaje niezmienność, publiczną czytelność i neutralne miejsce, którego obrońcy nie mogą łatwo wyłączyć.

Zgodnie z ReversingLabs, konkretne IOC z tych raportów obejmują kontrakty Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b powiązane z paczkami z lipca oraz kontrakt z 2024 roku 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, portfel 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, wzorce hostów 45.125.67.172 i 193.233.201.21 z portami 1337 lub 3001 oraz nazwy ładunków platformowych wymienione powyżej.

Skróty dla drugiego etapu z 2025 roku obejmują 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, a dla fali z 2024 roku Checkmarx podaje wartości SHA-256 dla Windows, Linux i macOS. ReversingLabs opublikował również SHA-1 dla każdej złośliwej wersji npm, co pomaga zespołom skanować magazyny artefaktów pod kątem wcześniejszego narażenia.

Ochrona przed atakiem

W zakresie obrony, natychmiastową kontrolą jest uniemożliwienie uruchamiania skryptów cyklu życia podczas instalacji i CI. npm dokumentuje flagę --ignore-scripts dla npm ci i npm install, a zespoły mogą ustawić ją globalnie w .npmrc, a następnie selektywnie zezwalać na niezbędne buildy w osobnym kroku.

Strona Node.js security best practices zaleca to samo podejście, wraz z przypinaniem wersji przez lockfile i dokładniejszym przeglądem opiekunów oraz metadanych.

Blokowanie ruchu wychodzącego do powyższych IOC i alertowanie na logi buildów inicjujących ethers.js do zapytania getString(address) to praktyczne detekcje zgodne z łańcuchowym projektem C2.

Paczki zniknęły, wzorzec pozostaje, a on-chain indirection stoi teraz obok typosquatów i fałszywych repozytoriów jako powtarzalny sposób na dotarcie do maszyn deweloperów.

Post Ethereum smart contracts quietly push javascript malware targeting developers appeared first on CryptoSlate.