Ефіріум смартконтракти стали новим теплом для Хакерів, що ховають шкідливі програми.

Нещодавно дослідницька команда ReversingLabs виявила тривожну знахідку: хакери витончено використовують смартконтракти Ethereum для приховування URL-адрес шкідливих програм. Це розслідування показало, що зловмисники використовують npm програмні пастки colortoolv2 та mimelib2 як завантажувачів, і як тільки встановлення завершено, вони запитують смартконтракти Ethereum для отримання інструкцій та інформації про інфраструктуру командування та контролю (C2) для другого етапу шкідливої програми.

Дослідниця ReversingLabs Люція Валентич зазначила, що цей метод атаки є надзвичайно креативним і безпрецедентним, успішно уникаючи традиційних сканувальних механізмів, які зазвичай позначають підозрілі URL-адреси в скриптах програмних пасток.

Зловмисне програмне забезпечення майстерно приховане в блокчейні

Хакери використовують особливості Ethereum смартконтрактів, щоб приховати шкідливий код у вигляді звичайного файлу index.js. Під час виконання цей файл отримує доступ до блокчейну для отримання детальної інформації про C2 сервер. Дослідження ReversingLabs вказує, що цей спосіб використання блокчейн-хостингу позначає перехід стратегій ухилення на новий етап.

Дослідники провели широке сканування на GitHub і виявили, що ці npm пакунки вбудовані в репозиторії, замасковані під криптовалютних роботів, таких як Solana-trading-bot-v2 і Hyperliquid-trading-bot-v2. Ці репозиторії замасковані під професійні інструменти, мають багато комітів, контейнери та зірочки, але насправді є фальшивими.

Хакерів ретельно замасковані та постійно еволюціонують

Дослідження показало, що облікові записи, які виконували подачу або копіювання репозиторіїв, були створені у липні та не демонстрували жодної активності кодування. Більшість облікових записів вбудували файли README у свої репозиторії. Кількість подач була штучно згенерована автоматизованим процесом з метою перебільшення активності кодування. Наприклад, більшість зафіксованих подач були лише змінами ліцензійних файлів, а не суттєвими оновленнями.

Дослідники виявили, що як тільки їх виявляють, Хакер швидко перемикає залежності на інші облікові записи. Після виявлення colortoolsv2 вони почали використовувати mimelibv2, а потім перейшли на mw3ha31q та cnaovalles, що призвело до збільшення кількості подань і впровадження шкідливих залежностей.

ReversingLabs пов'язав цю подію з Ghost Network Stargazer, який є системою облікових записів, що координує, з метою підвищення довіри до шкідливих сховищ. Метою цієї атаки були розробники, які шукають інструменти для відкритих криптовалют, які можуть помилково сприймати завищені статистичні дані GitHub як показники легітимних акаунтів.

Постійні загрози, з якими стикається екосистема блокчейну

Цей випадок атаки не є поодиноким. У березні 2025 року ResearchLabs виявили інші шкідливі npm плагіни, які модифікували легітимний пакет Ethers, використовуючи код для активації зворотного shell. Крім того, були виявлені два npm пакети з шкідливим кодом: Ether-provider2 та ethers-providerZ.

Оглядаючись назад, подія з проникненням у пакет ultralytics на PyPI у грудні 2024 року, що використовувався для поширення шкідливих програм для майнінгу криптовалют, а також випадки приховування шкідливого коду на таких надійних платформах, як Google Drive та GitHub Gist, демонструють різноманітність таких атак. За даними дослідження, у 2024 році було зафіксовано 23 випадки подій в ланцюгу постачання, пов'язаних з криптовалютою, які стосувалися шкідливих програм і витоків даних.

Рекомендації з безпеки та перспективи на майбутнє

Дослідниця ReversingLabs Валентина підкреслила, що це відкриття підкреслює швидку еволюцію стратегій ухилення від виявлення з боку зловмисників, які націлюються на проекти з відкритим кодом та розробників. Вона попередила розробників про необхідність обережно оцінювати легітимність відкритих бібліотек перед їх використанням, оскільки такі показники, як кількість зірок, кількість комітів та кількість у підтримці, легко маніпулюються.

Незважаючи на те, що відповідні npm пастка були видалені, а відповідні облікові записи GitHub закриті, ця подія виявила, що екосистема програмного забезпечення загроз постійно еволюціонує. Розробники та фахівці з безпеки повинні залишатися на чеку, впроваджуючи більш суворі методи верифікації, щоб протистояти цим дедалі складнішим загрозам.