黑客正在利用以太坊智能合约在 npm 包中隐藏恶意代码,增加了检测和清除的难度。

执行摘要

攻击者正在利用 以太坊 智能合约在 npm 包中隐藏恶意代码,这种策略增加了检测和清除的复杂性。这项由 ReversingLabs 于 2025 年 7 月揭露的行动,突显了针对加密和金融科技领域的软件供应链攻击日益复杂的演变。

事件详情

2025 年 7 月,ReversingLabs 的研究人员在 npm 包存储库上发现了两个恶意包,colortoolsv2mimelib2。这些包利用 以太坊 智能合约隐藏恶意命令,这些命令在受感染系统上安装下载器恶意软件。恶意软件没有直接嵌入可疑 URL,而是查询 以太坊 智能合约以获取命令和控制 (C2) 服务器地址,这种技术被称为“EtherHiding”。例如,colortoolsv2 包在其 index.js 脚本中包含一个混淆的恶意有效负载,用于获取并执行恶意命令。这些包已报告给 npm 维护者并随后被删除。

市场影响

这种新型攻击向量引发了人们对开源存储库安全性以及广泛受损可能性的担忧。正如 ReversingLabs 研究员 Lucija Valentić 指出的那样,>“新颖和不同之处在于利用 以太坊 智能合约来托管恶意命令所在的 URL,从而下载第二阶段恶意软件。我们以前从未见过这种情况,这说明了针对开源存储库和开发人员的恶意行为者规避策略的快速演变。”

这一事件可能导致对 npm 包和智能合约安全性的审查增加,并可能推动新安全协议和审计实践的采用。

更广泛的背景

此次攻击是一项更广泛行动的一部分,在该行动中,威胁行为者在 GitHub 上创建了伪装成加密货币交易机器人的虚假存储库。这些存储库,例如 solana-trading-bot-v2,拥有数千个虚假提交和虚高的星级评级,旨在欺骗开发人员。网络安全公司 卡巴斯基 也警告了 GitHub 上的类似行动,黑客创建了包含远程访问特洛伊木马 (RAT) 和信息窃取器的欺诈项目,旨在窃取加密货币和登录凭据。2024 年,Web3 安全事件导致超过 23 亿美元的加密货币损失,突显了此类攻击日益增长的经济动机。此事件强调了在整个开发生命周期中持续进行安全验证和采取主动安全措施的必要性,而不是仅仅依赖被动审计。