黑客正在使用以太坊智能合约将恶意软件有效载荷隐藏在看似良性的NPM软件包中,这种策略将区块链变成弹性的命令渠道并使撤离复杂化。
ReversingLabs 详细的 两个NPM软件包, colortoolsv2 和 mimelib2,它读取有关以太坊的合同,以获取第二阶段下载器的URL,而不是软件包本身中的基础结构,这是减少静态指示器的选择,并且在源代码评论中留下了更少的线索。
这些包裹在7月浮出水面,并在披露后被删除。 ReververSingLabs将其晋升追溯到github存储库网络,该网络以交易机器人为主,包括 索拉纳交易 – v2凭借假恒星的膨胀,延续了历史,并维护袜子维护者,这是一个使开发人员迈向恶意依赖链的社会层面。
下载较低,但方法很重要。每 黑客新闻,,,, colortoolsv2 看到了七个下载, mimelib2 一个仍然适合机会主义开发人员的目标。 潜行 和 ETC。 现在,将两个软件包列为恶意,为审计历史构建的团队提供快速检查。
历史重复
链命令频道呼应了一项更广泛的运动,研究人员于2024年底在数百个NPM打字机中追踪。在该浪潮中,执行的软件包已执行或预设了查询以太坊合同,检索基本URL的脚本,然后下载了特定于OS的有效载荷 node-win.exe,,,, node-linux, 或者 node-macos。
checkmarx 记录 核心合同 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b 加上钱包参数 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84,观察到的基础架构 45.125.67.172:1337 和 193.233.201.21:3001,其他。
门 DEOBFUSCATION 显示 ethers.js 打电话给 getString(address) 在相同的合同上,并记录了C2的旋转,随着时间的推移,这种行为将合同状态变成可移动的恶意软件检索指针。插座 独立 映射了Typosquat洪水并发布了匹配的IOC,包括相同的合同和钱包,确认了跨源的一致性。
一个古老的脆弱性继续蓬勃发展
RetversingLabs将2025个软件包的框架视为技术的延续,而不是规模,而Smart Contract则在下一阶段(而不是有效负载)主持URL的转折。
GitHub分销工作,包括伪造的星空吸引者和繁琐的作品,旨在通过休闲的尽职调查并利用假仓库的克隆中的自动化依赖性更新。
加密投资者蓝图: 为期5天的袋装课程,内幕前跑和缺少Alpha
该设计类似于早期使用第三方平台进行间接使用,例如GitHub Gist或Cloud Storage,但是链存储会增加不可变性,公共可读性以及防守者无法轻易离线的中性场所。
根据这些报告的混凝土IOC,包括以太坊合同 0x1f117a1b07c108eae05a5bccbe86922d66227e2b 链接到7月包和2024年合同 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, 钱包 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84,主机模式 45.125.67.172 和 193.233.201.21 带有端口1337或3001,以及上面指出的平台有效载荷名称。
2025年第二阶段的哈希包括 021d0eef8f457eb2a9f9fb2260dd2e391f009a21,对于2024 Wave,CheckMarx列出了Windows,Linux和MacOS SHA-256值。 ReversingLabs还为每个恶意NPM版本发布了SHA-1,该版本可帮助团队扫描工件商店以获取过去的曝光。
防止袭击
对于防御,即时控制是防止在安装和CI期间运行生命周期脚本。 NPM文件 --ignore-scripts 标志 npm ci 和 npm install,团队可以在全球范围内将其设置 .npmrc,然后通过单独的步骤有选择性地允许必要的构建。
Node.js安全性最佳实践页面建议采用相同的方法,以及通过Lockfiles固定版本以及对维护者和元数据的更严格的审查。
阻止上述IOC的出站流量,并在初始化的构建日志上发出警报 ethers.js 查询 getString(address) 提供 实际检测 与基于链条的C2设计一致。
包裹消失了,模式仍然存在,现在与Typosquats和Bogus Repos一起坐在链间间接方面,作为接触开发人员机器的可重复方法。
