Hackers exploram contratos Ethereum para ocultar malware em pacotes npm

• Malware utiliza contratos Ethereum para comandos ocultos
• Pacotes npm maliciosos exploram bibliotecas open source
• Campanha falsa inclui bots de negociação de criptomoedas

Um relatório recente da empresa de segurança ReversingLabs revelou que hackers estão usando smart contracts Ethereum como parte de uma nova técnica para ocultar malware em pacotes npm. Essa abordagem foi identificada em dois pacotes publicados em julho, chamados "colortoolsv2" e "mimelib2", que extraíam instruções de comando e controle diretamente de contratos on-chain.

De acordo com a pesquisadora Lucija Valentic, os pacotes executavam scripts ofuscados que consultavam contratos Ethereum para localizar o payload da próxima etapa da infecção. Esse método substitui a prática tradicional de inserir links diretamente no código, tornando mais difícil para os mantenedores das bibliotecas detectarem e removerem o malware. "Isso é algo que nunca vimos antes", disse Valentic, destacando a sofisticação da técnica e a rapidez com que os agentes de ameaça adaptam suas estratégias.

Além do uso de smart contracts, os atacantes criaram repositórios falsos no GitHub com temas de criptomoedas, como bots de negociação, que exibiam atividade artificialmente inflada. Estrelas falsas, commits automatizados e perfis fictícios de mantenedores foram usados para enganar desenvolvedores e levá-los a confiar nos pacotes e incluí-los em seus projetos.

Embora os pacotes identificados já tenham sido removidos após um relatório, a ReversingLabs alertou que o incidente faz parte de uma campanha maior com o objetivo de comprometer os ecossistemas npm e GitHub. Entre os repositórios falsos estava o "solana-trading-bot-v2", que apresentava milhares de commits superficiais para ganhar credibilidade enquanto inseria dependências maliciosas.

Valentic explicou que a investigação revelou evidências de um esforço mais amplo e coordenado visando infiltrar código malicioso em bibliotecas amplamente utilizadas por desenvolvedores. "Esses ataques recentes de agentes de ameaça, incluindo a criação de ataques sofisticados usando blockchain e GitHub, mostram que os ataques a repositórios estão evoluindo", enfatizou.

A empresa também já havia identificado campanhas anteriores que abusavam da confiança dos desenvolvedores em pacotes open source. Esta última campanha, no entanto, demonstra como a tecnologia blockchain está sendo incorporada de forma criativa em esquemas de malware, aumentando a complexidade da segurança no ecossistema de desenvolvimento de aplicações e projetos relacionados a criptomoedas.