駭客正在利用以太坊智能合約在 npm 套件中隱藏惡意程式碼,增加了偵測和清除的難度。

執行摘要

攻擊者正在利用 以太坊 智能合約在 npm 套件中隱藏惡意程式碼,這種策略增加了偵測和清除的複雜性。這項由 ReversingLabs 於 2025 年 7 月揭露的行動,突顯了針對加密和金融科技領域的軟體供應鏈攻擊日益複雜的演變。

事件詳情

2025 年 7 月,ReversingLabs 的研究人員在 npm 套件儲存庫上發現了兩個惡意套件,colortoolsv2mimelib2。這些套件利用 以太坊 智能合約隱藏惡意命令,這些命令在受感染系統上安裝下載器惡意軟體。惡意軟體沒有直接嵌入可疑 URL,而是查詢 以太坊 智能合約以獲取命令和控制 (C2) 伺服器位址,這種技術被稱為「EtherHiding」。例如,colortoolsv2 套件在其 index.js 腳本中包含一個混淆的惡意有效負載,用於獲取並執行惡意命令。這些套件已報告給 npm 維護者並隨後被刪除。

市場影響

這種新型攻擊向量引發了人們對開源儲存庫安全性以及廣泛受損可能性的擔憂。正如 ReversingLabs 研究員 Lucija Valentić 指出的那樣,>「新穎和不同之處在於利用 以太坊 智能合約來託管惡意命令所在的 URL,從而下載第二階段惡意軟體。我們以前從未見過這種情況,這說明了針對開源儲存庫和開發人員的惡意行為者規避策略的快速演變。」

這一事件可能導致對 npm 套件和智能合約安全性的審查增加,並可能推動新安全協定和審計實踐的採用。

更廣泛的背景

此次攻擊是一項更廣泛行動的一部分,在該行動中,威脅行為者在 GitHub 上創建了偽裝成加密貨幣交易機器人的虛假儲存庫。這些儲存庫,例如 solana-trading-bot-v2,擁有數千個虛假提交和虛高的星級評級,旨在欺騙開發人員。網路安全公司 卡巴斯基 也警告了 GitHub 上的類似行動,駭客創建了包含遠端存取特洛伊木馬 (RAT) 和資訊竊取器的詐欺專案,旨在竊取加密貨幣和登錄憑據。2024 年,Web3 安全事件導致超過 23 億美元的加密貨幣損失,突顯了此類攻擊日益增長的經濟動機。此事件強調了在整個開發生命週期中持續進行安全驗證和採取主動安全措施的必要性,而不是僅僅依賴被動審計。