Смарт-контракты Ethereum незаметно распространяют вредоносное ПО на javascript, нацеленное на разработчиков

Хакеры используют смарт-контракты Ethereum для сокрытия вредоносных загрузчиков внутри на первый взгляд безобидных npm-пакетов — эта тактика превращает блокчейн в устойчивый командный канал и усложняет процесс устранения угрозы.

ReversingLabs подробно описала два npm-пакета — colortoolsv2 и mimelib2, которые считывают контракт в сети Ethereum для получения URL-адреса загрузчика второго этапа вместо того, чтобы жестко прописывать инфраструктуру в самом пакете. Такой подход уменьшает количество статических индикаторов и оставляет меньше следов при анализе исходного кода.

Пакеты появились в июле и были удалены после раскрытия информации. ReversingLabs отследила их продвижение до сети репозиториев GitHub, которые выдавали себя за торговых ботов, включая solana-trading-bot-v2, с фальшивыми звездами, раздутой историей коммитов и фиктивными поддерживающими, что создавало социальный слой, направлявший разработчиков к вредоносной цепочке зависимостей.

Количество загрузок было небольшим, но важен сам метод. По данным The Hacker News, colortoolsv2 был загружен семь раз, а mimelib2 — один раз, что всё равно соответствует целевой атаке на разработчиков-оппортунистов. Snyk и OSV теперь отмечают оба пакета как вредоносные, предоставляя быстрые проверки для команд, проводящих аудит исторических сборок.

История повторяется

Ончейн-командный канал напоминает более широкую кампанию, которую исследователи отслеживали в конце 2024 года среди сотен npm-тайпоскуатов. В той волне пакеты выполняли install или preinstall-скрипты, которые обращались к контракту Ethereum, получали базовый URL, а затем загружали специфичные для ОС вредоносные файлы с именами node-win.exe, node-linux или node-macos.

Checkmarx задокументировала основной контракт по адресу 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b в связке с параметром кошелька 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, с наблюдаемой инфраструктурой на 45.125.67.172:1337 и 193.233.201.21:3001, среди прочих.

Деобфускация от Phylum показывает вызов ethers.js к getString(address) на том же контракте и фиксирует ротацию C2-адресов со временем — поведение, превращающее состояние контракта в подвижный указатель для получения вредоносного ПО. Socket независимо отразил волну тайпоскуатов и опубликовал соответствующие IOC, включая тот же контракт и кошелек, что подтверждает согласованность между источниками.

Старая уязвимость продолжает процветать

ReversingLabs рассматривает пакеты 2025 года как продолжение техники, а не масштаба, с особенностью, что смарт-контракт теперь хранит URL для следующего этапа, а не сам вредоносный файл.

Работа по распространению через GitHub, включая фальшивых звезд и фиктивные коммиты, направлена на прохождение поверхностной проверки и использование автоматических обновлений зависимостей в клонах поддельных репозиториев.

Дизайн напоминает более раннее использование сторонних платформ для косвенного доступа, например, GitHub Gist или облачного хранилища, но хранение на блокчейне добавляет неизменяемость, публичную читаемость и нейтральную площадку, которую защитники не могут легко отключить.

По данным ReversingLabs, конкретные IOC из этих отчетов включают Ethereum-контракты 0x1f117a1b07c108eae05a5bccbe86922d66227e2b, связанные с июльскими пакетами, и контракт 2024 года 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, кошелек 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, паттерны хостов 45.125.67.172 и 193.233.201.21 с портами 1337 или 3001, а также имена вредоносных файлов, указанные выше.

Хэши для второго этапа 2025 года включают 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, а для волны 2024 года Checkmarx приводит значения SHA-256 для Windows, Linux и macOS. ReversingLabs также опубликовала SHA-1 для каждой вредоносной версии npm, что помогает командам сканировать хранилища артефактов на предмет прошлых заражений.

Защита от атаки

Для защиты немедленной мерой является предотвращение выполнения скриптов жизненного цикла во время установки и CI. npm документирует флаг --ignore-scripts для npm ci и npm install, и команды могут установить его глобально в .npmrc, а затем избирательно разрешать необходимые сборки отдельным шагом.

Страница лучших практик безопасности Node.js советует тот же подход, а также закрепление версий через lockfiles и более строгий аудит поддерживающих и метаданных.

Блокировка исходящего трафика к вышеуказанным IOC и оповещение по логам сборки, которые инициализируют ethers.js для запроса getString(address), обеспечивают практические методы обнаружения, соответствующие цепочечному дизайну C2.

Пакеты исчезли, но паттерн остался, и ончейн-косвенность теперь стоит в одном ряду с тайпоскуатами и поддельными репозиториями как повторяемый способ добраться до машин разработчиков.

Публикация Ethereum smart contracts quietly push javascript malware targeting developers впервые появилась на CryptoSlate.