Contratos inteligentes do Ethereum discretamente distribuem malware em JavaScript visando desenvolvedores

Hackers estão usando smart contracts da Ethereum para ocultar cargas maliciosas dentro de pacotes npm aparentemente inofensivos, uma tática que transforma o blockchain em um canal de comando resiliente e dificulta a remoção.

A ReversingLabs detalhou dois pacotes npm, colortoolsv2 e mimelib2, que leem um contrato na Ethereum para buscar uma URL de um downloader de segunda etapa em vez de codificar a infraestrutura diretamente no pacote, uma escolha que reduz indicadores estáticos e deixa menos pistas em revisões de código-fonte.

Os pacotes surgiram em julho e foram removidos após a divulgação. A ReversingLabs rastreou sua promoção até uma rede de repositórios no GitHub que se passavam por bots de trading, incluindo solana-trading-bot-v2, com estrelas falsas, históricos de commits inflados e mantenedores fakes, uma camada social que direcionava desenvolvedores para a cadeia de dependências maliciosa.

Os downloads foram baixos, mas o método importa. Segundo The Hacker News, colortoolsv2 teve sete downloads e mimelib2 um, o que ainda se encaixa em uma abordagem oportunista de direcionamento a desenvolvedores. Snyk e OSV agora listam ambos os pacotes como maliciosos, fornecendo verificações rápidas para equipes que auditam builds históricos.

A história se repete

O canal de comando on-chain ecoa uma campanha mais ampla que pesquisadores rastrearam no final de 2024 em centenas de typosquats de npm. Nessa onda, os pacotes executavam scripts de install ou preinstall que consultavam um contrato Ethereum, recuperavam uma URL base e então baixavam cargas específicas para o sistema operacional chamadas node-win.exe, node-linux ou node-macos.

A Checkmarx documentou um contrato principal em 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b acoplado a um parâmetro de carteira 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, com infraestrutura observada em 45.125.67.172:1337 e 193.233.201.21:3001, entre outros.

A desofuscação da Phylum mostra a chamada ethers.js para getString(address) no mesmo contrato e registra a rotação de endereços C2 ao longo do tempo, um comportamento que transforma o estado do contrato em um ponteiro móvel para recuperação de malware. A Socket mapeou independentemente a inundação de typosquats e publicou IOCs correspondentes, incluindo o mesmo contrato e carteira, confirmando a consistência entre fontes.

Uma velha vulnerabilidade continua prosperando

A ReversingLabs enquadra os pacotes de 2025 como uma continuação da técnica, e não da escala, com o diferencial de que o smart contract hospeda a URL para a próxima etapa, não a carga maliciosa.

O trabalho de distribuição no GitHub, incluindo stargazers falsos e commits de manutenção, visa passar por uma due diligence casual e aproveitar atualizações automáticas de dependências dentro de clones dos repositórios falsos.

O design se assemelha ao uso anterior de plataformas de terceiros para indireção, como GitHub Gist ou armazenamento em nuvem, mas o armazenamento on-chain adiciona imutabilidade, leitura pública e um ambiente neutro que os defensores não podem facilmente tirar do ar.

Segundo a ReversingLabs, IOCs concretos desses relatórios incluem os contratos Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b vinculados aos pacotes de julho e o contrato de 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, carteira 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, padrões de host 45.125.67.172 e 193.233.201.21 com porta 1337 ou 3001, e nomes de cargas de plataforma mencionados acima.

Hashes para a segunda etapa de 2025 incluem 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, e para a onda de 2024, a Checkmarx lista valores SHA-256 para Windows, Linux e macOS. A ReversingLabs também publicou SHA-1s para cada versão maliciosa do npm, o que ajuda equipes a escanear repositórios de artefatos para exposição passada.

Protegendo-se contra o ataque

Para defesa, o controle imediato é impedir que scripts de ciclo de vida sejam executados durante a instalação e CI. O npm documenta a flag --ignore-scripts para npm ci e npm install, e as equipes podem defini-la globalmente no .npmrc, permitindo seletivamente builds necessários em uma etapa separada.

A página de melhores práticas de segurança do Node.js aconselha a mesma abordagem, juntamente com o uso de lockfiles para fixar versões e uma revisão mais rigorosa de mantenedores e metadados.

Bloquear tráfego de saída para os IOCs acima e alertar em logs de build que inicializam ethers.js para consultar getString(address) fornecem detecções práticas que se alinham ao design de C2 baseado em blockchain.

Os pacotes se foram, o padrão permanece, e a indireção on-chain agora se junta aos typosquats e repositórios falsos como uma forma repetível de alcançar máquinas de desenvolvedores.

O post Ethereum smart contracts quietly push javascript malware targeting developers apareceu primeiro em CryptoSlate.