Хакеры научились прятать вредоносное ПО в смарт-контрактах Ethereum

• Обнаружены два вредоносных пакета NPM, использующие Ethereum-контракты для сокрытия команд.
• Такой метод позволяет обходить сканирование и затрудняет выявление угроз.
• Кампания была частью более широкой схемы социальной инженерии через GitHub.

Исследователи компании ReversingLabs выявили новый метод распространения вредоносного кода, в котором смарт-контракты Ethereum применяются для скрытой доставки команд и ссылок. По их данным, хакеры внедряли зараженные пакеты в открытые репозитории, используя особенности блокчейна для обхода стандартных инструментов киберзащиты.

Под угрозой оказались пользователи, загружавшие два вредоносных пакета — colortoolsv2 и mimelib2. Они публиковались в июле 2025 года в NPM, крупнейшем хранилище JavaScript-библиотек. Вредоносный код не содержал прямых ссылок на управляющие серверы, а получал их из смарт-контрактов Ethereum, что делало сетевой трафик внешне легитимным и осложняло выявление.

После установки пакеты подключались к блокчейну, извлекали адреса серверов и загружали вторую фазу вредоносного ПО. Такой механизм превращал обычные смарт-контракты в инструмент маскировки URL-адресов и помогал злоумышленникам обходить автоматические проверки безопасности.

ReversingLabs отмечает, что само использование блокчейна в атаках не ново — ранее аналогичные техники применялись хакерской группой Lazarus. Однако отличие нынешнего подхода в том, что контракты Ethereum использовались не для распространения файлов, а для размещения управляющих ссылок, что исследователи назвали беспрецедентным развитием методов уклонения от обнаружения.

По данным специалистов, вредоносные пакеты стали частью масштабной кампании социальной инженерии. Злоумышленники создавали поддельные репозитории GitHub, выдавая их за торговых ботов для криптоактивов. Для правдоподобия они добавляли фальшивые коммиты, заводили несколько аккаунтов-наблюдателей и публиковали профессионально оформленную документацию, имитируя реальную активность разработчиков.

В ReversingLabs подчеркнули, что атаки на открытые репозитории набирают масштаб. В 2024 году зафиксировано как минимум 23 кампании, связанные с цифровыми активами. При этом злоумышленники действуют не только в экосистеме Ethereum. 

В апреле в сети распространялся поддельный бот для Solana, похищавший криптокошельки. Кроме того, ранее атаки были направлены против Bitcoinlib — популярной библиотеки Python для работы с экосистемой биткоина.

Эксперты считают, что сочетание блокчейн-технологий с социальной инженерией демонстрирует рост изобретательности хакеров. Такие методы обходят традиционные средства защиты и представляют все более серьезную угрозу для разработчиков и пользователей открытого ПО.

Напомним, мы писали, что в августе 2025 года убытки индустрии от хакерских атак превысили $163 млн.