加密駭客現正利用Ethereum智能合約來隱藏惡意軟體載荷

Ethereum 已成為最新的軟體供應鏈攻擊前線。

ReversingLabs 的研究人員本週早些時候發現了兩個惡意的 NPM 套件，這些套件利用 Ethereum 智能合約來隱藏惡意程式碼，使惡意軟體能夠繞過傳統的安全檢查。

NPM 是 Node.js 執行環境的套件管理器，被認為是全球最大的軟體註冊庫，開發者可以在此存取與分享貢獻於數百萬軟體程式的程式碼。

這兩個套件，“colortoolsv2” 和 “mimelib2”，於七月上傳至廣泛使用的 Node Package Manager 儲存庫。它們乍看之下像是簡單的工具，但實際上卻利用 Ethereum 區塊鏈來獲取隱藏的 URL，這些 URL 會引導受感染系統下載第二階段的惡意軟體。

透過將這些指令嵌入智能合約中，攻擊者將其行為偽裝成合法的區塊鏈流量，進一步增加了偵測的難度。

“這是我們之前未曾見過的情況，”ReversingLabs 的研究員 Lucija Valentić 在報告中表示。“這凸顯了惡意行為者針對開源儲存庫和開發者，快速演進的偵測規避策略。”

這種技術建立在舊有的攻擊手法之上。過去的攻擊曾利用 GitHub Gists、Google Drive 或 OneDrive 等受信任的服務來託管惡意連結。如今，攻擊者改為利用 Ethereum 智能合約，為本已危險的供應鏈攻擊手法增添了加密貨幣的色彩。

這起事件屬於更大規模行動的一部分。ReversingLabs 發現這些套件與假冒的 GitHub 儲存庫有關，這些儲存庫偽裝成 cryptocurrency trading bot。這些儲存庫充斥著偽造的提交紀錄、虛假的用戶帳號以及膨脹的星標數量，以營造出合法的假象。

拉取這些程式碼的開發者，可能在毫無察覺的情況下導入了惡意軟體。

開源加密工具中的供應鏈風險並非新鮮事。去年，研究人員就曾發現超過 20 起針對開發者、利用 npm 與 PyPI 等儲存庫發動的惡意攻擊行動。

許多攻擊的目標是竊取錢包憑證或安裝加密挖礦程式。但利用 Ethereum 智能合約作為傳遞機制，顯示對手正迅速適應，融入區塊鏈生態系統。

對開發者而言，值得注意的是，熱門提交或活躍維護者都可能是偽造的，即使看似無害的套件也可能暗藏惡意載荷。