攻击者正在使用以太坊智能合约在NPM包中隐藏恶意URL,使检测复杂化并构成供应链风险。

执行摘要

攻击者正在利用以太坊智能合约在NPM包中隐藏恶意URL,使检测更加困难,并构成供应链风险。这种新颖的方法标志着针对加密和Web3生态系统的网络攻击策略的演变。

详细事件

7月初,ReversingLabs研究员Karlo ZankiNPM上发现了一个名为“colortoolsv2”的恶意软件包。在删除初始软件包后,随后发布了一个重复的软件包“mimelib2”。这两个软件包都通过区块链基础设施部署了第二阶段的恶意软件有效负载。这些软件包没有直接在软件包中嵌入URL或脚本,而是使用以太坊智能合约来存储和传递URL,以获取第二阶段的恶意软件。这种策略使检测变得更加困难,因为恶意基础设施隐藏在区块链代码中,而不是在软件包文件中。

市场影响

使用以太坊智能合约来隐藏恶意命令代表了一种新的规避策略。根据ReversingLabs的《2025年软件供应链安全报告》,2024年发生了23起此类活动,其中包括12月对PyPI软件包ultralytics的入侵,该入侵交付了一个挖矿程序。由于此漏洞,以太坊生态系统和开源加密工具面临信任度下降。

专家评论

ReversingLabs的研究人员表示,使用智能合约加载恶意命令是他们以前从未见过的,并突显了恶意行为者检测规避策略的快速发展。

更广泛的背景

加密行业面临着越来越多的网络攻击。在2025年上半年,通过黑客攻击事件窃取了24.7亿美元的数字资产。2月份发生的一起事件导致Bybit损失了15亿美元。美国开源开发人员的份额从2021年的25%下降到2025年的18%,理由是“缺乏监管清晰度”是主要驱动因素。