以太坊智能合約被利用以隱藏惡意代碼

Gate 新聞

2025年10月6日 03:28

網路安全研究人員揭露了一項復雜的惡意軟件操作，該操作利用以太坊智能合約隱藏惡意軟件網址。攻擊者使用npm包colortoolv2和mimelib2作爲初始下載向量，展示了一種創新的方法來規避傳統安全措施。

安裝後，這些 npm 包會啓動一個過程，通過與以太坊智能合約交互，從一個命令與控制 (C2) 基礎設施中檢索二級惡意軟件。安全專家 Lucija Valentic 將這種方法描述爲前所未有，成功規避了通常會在包腳本中標記可疑 URL 的常規掃描。

僞裝在公共區塊鏈功能中的惡意軟件

以透明程序形式設計的以太坊智能合約用於自動化區塊鏈操作，但被黑客重新利用，以在明面上隱藏惡意代碼。攻擊向量使用了一個簡單的 index.js 文件，該文件在執行時查詢區塊鏈以獲取 C2 服務器信息。

研究人員指出，盡管在npm中下載器包並不常見，但使用區塊鏈來托管惡意軟件標志着規避策略的演變。進一步調查顯示，這些惡意軟件包嵌入在GitHub庫中，僞裝成各種平台的加密貨幣交易機器人。

這些欺騙性的代碼庫被制作得看起來像合法的專業工具，具有多個提交、容器和星標。然而，深入分析揭示了它們的虛假本質，大多數提交只是對許可證文件的表面更改，而不是實質性的代碼更新。

發現惡意行爲者的協調網路

調查將這一活動與一個復雜的帳戶網路聯繫起來，該網路旨在提升惡意存儲庫的可信度。此操作特別針對尋求開源加密貨幣工具的開發者，利用了將虛高的 GitHub 統計數據等同於合法性的趨勢。

隨着檢測工作的發展，攻擊者表現出的靈活性體現在他們頻繁地在不同帳戶之間切換依賴關係。發現這一戰術凸顯了惡意行爲者在滲透開源項目時所採用的檢測規避策略的快速演變。

網路安全挑戰的新篇章

這一事件是針對區塊鏈生態系統攻擊更廣泛趨勢的一部分。早在2025年，發現其他惡意的npm包被用來修補合法的與加密貨幣相關的庫，添加了允許未經授權訪問的代碼。此外，像雲存儲服務和代碼共享網站這樣的可信平台已被利用來掩蓋惡意代碼的傳播。

以太坊智能合約在惡意軟件傳播中的應用代表了一種新穎的方法，反映了日益復雜的威脅環境。它突顯了開發者在集成之前嚴格驗證開源庫合法性的關鍵需求。

安全專家強調，傳統的項目可信度指標，如星級數量、提交頻率和維護者數量，容易被操控。他們建議對每個考慮納入開發環境的庫進行全面評估。

雖然已刪除識別出的惡意軟件包並關閉相關帳戶，但這一事件提醒我們，加密貨幣領域的軟件安全威脅正在不斷演變。

確保開源開發的安全性

鑑於這些發展，建議加密貨幣社區在採用開源工具時提高警惕。開發者和項目應實施強有力的驗證過程，並在評估外部庫和資源的可信度時考慮超出表面指標的多個因素。

隨着區塊鏈和加密貨幣行業的不斷創新，安全實踐也必須不斷發展，以應對新的挑戰。此次事件強調了在面對日益復雜的網路威脅時，持續保持警惕和適應的重要性。