Os contratos inteligentes do Ethereum tornaram-se um novo terreno fértil para hackers esconderem programas maliciosos.

Recentemente, a equipe de pesquisa da ReversingLabs revelou uma descoberta preocupante: hackers estão usando contratos inteligentes Ethereum de forma astuta para ocultar URLs de malware. A investigação mostra que os atacantes utilizam os pacotes de software npm colortoolv2 e mimelib2 como downloaders, e uma vez instalados, eles consultam contratos inteligentes Ethereum para obter informações sobre as instruções e a infraestrutura de comando e controle (C2) da segunda fase do malware.

Os pesquisadores da ReversingLabs, Lucija Valentic, afirmaram que essa técnica de ataque é extremamente criativa e sem precedentes, conseguindo evitar os mecanismos de varredura tradicionais, que normalmente marcam URLs suspeitas em scripts de pacotes de software.

Malware oculto de forma astuta na blockchain

Os hackers aproveitam as características dos contratos inteligentes do Ethereum, escondendo código malicioso em arquivos index.js que parecem normais. Ao serem executados, esses arquivos acessam a blockchain para obter detalhes do servidor C2. A pesquisa da ReversingLabs aponta que essa forma de utilização da blockchain marca a entrada de estratégias de evasão em uma nova fase.

Os pesquisadores realizaram uma varredura extensiva no GitHub e descobriram que esses pacotes npm estavam embutidos em repositórios disfarçados como robôs de criptomoeda, como Solana-trading-bot-v2 e Hyperliquid-trading-bot-v2. Esses repositórios se disfarçam de ferramentas profissionais, com múltiplos envios, contêineres e estrelas, mas na verdade são todos falsos.

Hacker de disfarce meticuloso e evolução contínua

Estudos mostram que as contas que executam envios ou copiam repositórios de código foram criadas em julho e não mostraram nenhuma atividade de codificação. A maioria das contas incorporou arquivos README em seus repositórios. O número de envios foi gerado artificialmente por meio de programas automatizados, com o objetivo de exagerar a atividade de codificação. Por exemplo, a maioria dos envios registrados consiste apenas em alterações de arquivos de licença, e não em atualizações substanciais.

Os pesquisadores descobriram que, uma vez detectados, os hackers rapidamente mudam suas dependências para diferentes contas. Após a descoberta do colortoolsv2, eles começaram a usar mimelibv2, e depois mudaram para mw3ha31q e cnaovalles, comportamentos que resultaram na inflação do número de submissões e na inserção de dependências maliciosas.

A ReversingLabs ligou esta atividade à Ghost Network da Stargazer, que é um sistema de contas coordenadas destinado a aumentar a credibilidade de repositórios maliciosos. O alvo deste ataque são os desenvolvedores que buscam ferramentas de criptomoeda de código aberto, que podem confundir dados estatísticos exagerados do GitHub como indicadores de contas legítimas.

Ameaças contínuas que o ecossistema de blockchain enfrenta

O ataque descoberto desta vez não é um caso isolado. Em março de 2025, a ResearchLabs descobriu outros pacotes npm maliciosos, que modificaram pacotes Ethers legítimos com código que ativa um shell reverso. Além disso, também foram encontrados dois pacotes npm, Ether-provider2 e ethers-providerZ, que contêm código malicioso.

Ao refletir sobre o passado, o incidente de dezembro de 2024, onde o pacote ultralytics do PyPI foi invadido para espalhar malware de mineração de criptomoedas, assim como os casos de uso de plataformas confiáveis como Google Drive e GitHub Gist para esconder código malicioso, demonstram a diversidade desse tipo de ataque. De acordo com pesquisas, em 2024 foram registrados 23 incidentes de cadeia de suprimentos relacionados a criptomoedas, envolvendo malware e vazamentos de dados.

Sugestões de Segurança e Perspectivas Futuras

Os pesquisadores da ReversingLabs, Valentic, enfatizaram que essa descoberta destaca como as estratégias de evasão de detecção de atacantes maliciosos direcionadas a projetos de código aberto e desenvolvedores estão evoluindo rapidamente. Ela alertou os desenvolvedores a avaliarem cuidadosamente a legitimidade das bibliotecas de código aberto antes de adotá-las, pois indicadores como número de estrelas, número de envios e quantidade de mantenedores podem ser facilmente manipulados.

Apesar de os pacotes npm relacionados terem sido removidos e as contas do GitHub correspondentes terem sido fechadas, este evento revela que o ecossistema de ameaças de software está em constante evolução. Desenvolvedores e especialistas em segurança precisam permanecer vigilantes e adotar medidas de validação mais rigorosas para enfrentar essas ameaças cada vez mais complexas.