イーサリアム スマートコントラクトがマルウェア配布ネットワークとして武器化 🚀

ReversingLabsがかなり驚くべきことを見つけました。イーサリアムのスマートコントラクトがマルウェアを隠すために使用されています🔥。攻撃者はnpmパッケージ「colortoolv2」と「mimelib2」をダウンローダーとして展開しました。これらはイーサリアムブロックチェーンのコントラクトと通信することで第二段階のマルウェアを取得します。

スマートな行動。非常にスマート。

従来のセキュリティスキャンは、パッケージスクリプト内の疑わしいURLを探します。この方法はそれをすっ飛ばします。ハッカーはイーサリアムの透明性を武器に変え、誰もが見ることができるが誰も気づかない場所に悪意のあるコードを隠しました🛡️。

"このアプローチは見たことがない"と研究者のルチア・ヴァレンティックは言った。実際、素晴らしい。パッケージにはシンプルなindex.jsファイルが含まれていた。それを実行すると、ブロックチェーンに接続される。こんな感じで。

これらのパッケージは単独ではありませんでした。GitHubリポジトリ内に存在していました。偽の暗号取引ボット。「Solana-trading-bot-v2」や「Hyperliquid-trading-bot-v2」といった名前で開発者の目を引くために📈。

ファサードは本物のように見えた。スター、コミット、そのすべて。しかし、それは本物ではなかった。ほとんどのコミット？ただのライセンスファイルの調整。重要なものは何もなかった。「Pasttimerles」や「Slunfuedrac」のようなハンドルが次々と現れていた。

一度見つけると、彼らは動きました。すぐに。新しい依存関係、異なるアカウント。「colortoolv2」から「mimelibv2」、次に「mw3ha31q」と「cnaovalles」🔄。

ReversingLabsはそれを「星見者のゴーストネットワーク」と呼んでいます - それほど浮遊感がありながら危険なものには適した名前のようです。

これは最初のブロックチェーン関連の脅威ではありません。全然近くもありません。2025年3月、悪意のあるnpmパッケージが正当なEthersパッケージをパッチしました。2024年12月にはPyPI ultralyticsパッケージの問題がありました。2024年を通じて？約23件の暗号関連のサプライチェーンインシデントがありました。

でもこのイーサリアムの契約のこと？次のレベルです。

Valenticは開発者にライブラリを確認するよう警告しています。スターは嘘をつくことがあります。コミット数は欺くことができます。メンテイナーの数は全ての真実を語りません🕵️‍♀️.

両方のnpmパッケージはもうありません。GitHubもアカウントを閉鎖しました。しかし、このブロックチェーンセキュリティのサガで次に何が起こるのかは完全には明らかではありません🌕。