Hợp đồng thông minh Ethereum trở thành bệ phóng mới cho Hacker ẩn giấu phần mềm độc hại

Gần đây, nhóm nghiên cứu của ReversingLabs đã tiết lộ một phát hiện đáng lo ngại: Hacker đang khéo léo lợi dụng hợp đồng thông minh Ethereum để ẩn giấu địa chỉ của các chương trình độc hại. Cuộc điều tra này cho thấy, kẻ tấn công thông qua các gói phần mềm npm colortoolv2 và mimelib2 làm công cụ tải xuống, ngay khi được cài đặt, chúng sẽ truy vấn hợp đồng thông minh Ethereum để lấy thông tin về chỉ dẫn và cơ sở hạ tầng điều khiển và chỉ huy (C2) của giai đoạn hai các chương trình độc hại.

Nhà nghiên cứu Lucija Valentic của ReversingLabs cho biết, phương pháp tấn công này rất sáng tạo và chưa từng thấy, đã thành công trong việc tránh né các cơ chế quét truyền thống, những cơ chế thường đánh dấu các URL nghi ngờ trong kịch bản phần mềm bẫy.

Phần mềm độc hại được ẩn giấu khéo léo trong blockchain

Hacker lợi dụng đặc tính của hợp đồng thông minh Ethereum, ẩn mã độc bên trong tệp index.js có vẻ bình thường. Khi thực thi, tệp này sẽ truy cập blockchain để lấy thông tin chi tiết về máy chủ C2. Nghiên cứu của ReversingLabs chỉ ra rằng cách tận dụng việc lưu trữ trên blockchain này đánh dấu sự chuyển mình của các chiến lược lẩn tránh vào một giai đoạn hoàn toàn mới.

Các nhà nghiên cứu đã thực hiện quét rộng rãi trên GitHub và phát hiện ra rằng các gói npm này được nhúng vào các kho chứa giả mạo thành các robot tiền điện tử, chẳng hạn như Solana-trading-bot-v2 và Hyperliquid-trading-bot-v2. Những kho chứa này giả mạo thành các công cụ chuyên nghiệp, có nhiều lần gửi, container và sao, nhưng thực tế đều là giả.

Hacker có sự ngụy trang tinh vi và sự tiến hóa liên tục

Nghiên cứu phát hiện rằng, các tài khoản thực hiện việc gửi hoặc sao chép kho mã được tạo vào tháng 7 và không hiển thị bất kỳ hoạt động lập trình nào. Hầu hết các tài khoản đều nhúng tập tin README trong kho mã của họ. Số lần gửi là do các chương trình tự động tạo ra nhằm phóng đại hoạt động lập trình. Ví dụ, hầu hết các lần gửi được ghi nhận chỉ là thay đổi tập tin giấy phép, thay vì cập nhật thực chất.

Các nhà nghiên cứu phát hiện ra rằng, ngay khi bị phát hiện, Hacker sẽ nhanh chóng chuyển đổi các phụ thuộc sang các tài khoản khác. Sau khi colortoolsv2 bị phát hiện, họ đã chuyển sang sử dụng mimelibv2, sau đó lại chuyển sang mw3ha31q và cnaovalles, những hành động này đã dẫn đến sự gia tăng số lượng các yêu cầu và sự cài đặt của các phụ thuộc độc hại.

ReversingLabs đã liên kết sự kiện này với Ghost Network của Stargazer, một hệ thống tài khoản phối hợp nhằm nâng cao độ tin cậy của kho lưu trữ độc hại. Mục tiêu của cuộc tấn công lần này là những nhà phát triển đang tìm kiếm công cụ tiền điện tử mã nguồn mở, những người có thể nhầm lẫn số liệu thống kê trên GitHub phóng đại là chỉ số của các tài khoản hợp pháp.

Các mối đe dọa liên tục đối với hệ sinh thái blockchain

Cuộc tấn công được phát hiện lần này không phải là trường hợp đơn lẻ. Vào tháng 3 năm 2025, ResearchLabs đã phát hiện ra các gói npm độc hại khác, những gói này đã sử dụng mã kích hoạt shell ngược để sửa đổi các gói Ethers hợp pháp. Ngoài ra, cũng đã phát hiện ra hai gói npm có mã độc là Ether-provider2 và ethers-providerZ.

Nhìn lại quá khứ, sự kiện vào tháng 12 năm 2024 khi gói ultralytics trên PyPI bị xâm nhập để phát tán phần mềm độc hại khai thác tiền điện tử, cùng với các trường hợp ẩn mã độc trên các nền tảng đáng tin cậy như Google Drive và GitHub Gist, cho thấy sự đa dạng của các cuộc tấn công này. Theo nghiên cứu, trong năm 2024 đã ghi nhận 23 sự kiện chuỗi cung ứng liên quan đến tiền điện tử, liên quan đến phần mềm độc hại và rò rỉ dữ liệu.

Đề xuất an toàn và triển vọng trong tương lai

Các nhà nghiên cứu của ReversingLabs, Valentic, nhấn mạnh rằng phát hiện này nêu bật việc các kẻ tấn công độc hại đang nhanh chóng phát triển các chiến lược tránh phát hiện nhắm vào các dự án mã nguồn mở và các nhà phát triển. Cô cảnh báo các nhà phát triển phải cẩn thận đánh giá tính hợp pháp của các thư viện mã nguồn mở trước khi áp dụng, vì các chỉ số như số lượng sao, số lần gửi và số lượng người bảo trì rất dễ bị thao túng.

Mặc dù các gói npm liên quan đã bị gỡ bỏ và các tài khoản GitHub liên quan cũng đã bị đóng, nhưng sự kiện này đã tiết lộ rằng hệ sinh thái phần mềm đang phát triển không ngừng. Các nhà phát triển và chuyên gia an ninh cần phải cảnh giác, áp dụng các biện pháp xác thực nghiêm ngặt hơn để đối phó với những mối đe dọa ngày càng phức tạp.