2025年4月9日 –ReversingLabs 的网络安全研究人员发现了一种新颖的恶意软件传播方法,该方法利用以太坊智能合约隐藏恶意命令,从而绕过传统的安全扫描。研究人员 Lucija Valentić 在周三的一篇博客文章中详细介绍了这一发现,其中涉及两个恶意软件包“colortoolsv2”和“mimelib2”,它们于 7 月在 Node 软件包管理器 (NPM) 存储库中发布。
这些软件包充当下载器,从以太坊智能合约中检索命令和控制服务器 URL,以获取第二阶段恶意软件。这种技术将恶意活动伪装成合法的区块链流量,使检测变得困难。这种方法标志着早期攻击的演变,包括与朝鲜有关联的 Lazarus 组织的攻击,这些攻击也针对以太坊智能合约,但并非针对托管恶意 URL。该恶意软件是 GitHub 上复杂的社会工程活动的一部分,其特色是虚假的加密货币交易机器人存储库,其中包含虚假的提交、虚假的用户帐户和精心修饰的文档,以显得可信。
Valentić 指出,此类策略反映了利用开源存储库的威胁行为者的快速演变。仅在 2024 年,研究人员就记录了 23 起与加密相关的恶意活动,其中类似的攻击针对的是 Solana 和 Bitcoinlib 存储库。
