Ethereum智能合約成為黑客隱藏惡意程式的新溫床

近期，ReversingLabs的研究團隊揭露了一項令人憂心的發現：黑客正巧妙利用Ethereum智能合約來隱藏惡意程式的網址。此次調查顯示，攻擊者透過npm軟體套件colortoolv2和mimelib2作為下載器，一旦安裝完成，便會查詢Ethereum智能合約以獲取第二階段惡意程式的指令和控制（C2）基礎設施資訊。

ReversingLabs的研究員Lucija Valentic表示，這種攻擊手法極具創意且前所未見，成功規避了傳統的掃描機制，這些機制通常會標記軟體套件腳本中的可疑網址。

惡意程式巧妙隱藏於區塊鏈中

黑客們利用Ethereum智能合約的特性，將惡意代碼隱藏在看似平常的index.js檔案中。執行時，該檔案會存取區塊鏈以取得C2伺服器的詳細資訊。ReversingLabs的研究指出，這種利用區塊鏈託管的方式標誌著規避策略進入了嶄新階段。

研究人員在GitHub上進行了廣泛掃描，發現這些npm套件被嵌入偽裝成加密貨幣機器人的儲存庫中，如Solana-trading-bot-v2和Hyperliquid-trading-bot-v2等。這些儲存庫偽裝成專業工具，擁有多次提交、容器和星標，但實際上都是虛假的。

黑客的精心偽裝與持續演變

研究發現，執行提交或複製程式碼庫的帳戶於7月創建，且未顯示任何編碼活動。大多數帳戶在其程式碼庫中嵌入了README檔案。提交次數是透過自動化程序人為生成的，目的在於誇大編碼活動。例如，大部分記錄的提交僅是許可證檔案的更改，而非實質性更新。

研究人員發現，一旦被偵測到，黑客就會迅速將依賴項切換到不同的帳戶。在colortoolsv2被發現後，他們轉向使用mimelibv2，隨後又轉向mw3ha31q和cnaovalles，這些行為導致了提交數量的膨脹和惡意依賴項的植入。

ReversingLabs將此次活動與Stargazer的Ghost Network聯繫起來，這是一個協調帳戶系統，旨在提高惡意儲存庫的可信度。此次攻擊的目標是那些尋求開源加密貨幣工具的開發人員，他們可能會將誇大的GitHub統計數據誤認為合法帳戶的指標。

區塊鏈生態系統面臨的持續威脅

這次發現的攻擊並非孤例。2025年3月，ResearchLabs就發現了其他惡意npm套件，這些套件使用啟用反向shell的程式碼修改了合法的Ethers套件。此外，還發現了Ether-provider2和ethers-providerZ這兩個含有惡意程式碼的npm套件。

回顧過去，2024年12月PyPI的ultralytics套件遭入侵用於散布加密貨幣挖礦惡意程式的事件，以及利用Google Drive和GitHub Gist等受信任平台隱藏惡意程式碼的案例，都顯示了這類攻擊的多樣性。根據研究，2024年共記錄了23起與加密相關的供應鏈事件，涉及惡意程式和資料外洩等問題。

安全建議與未來展望

ReversingLabs的研究員Valentic強調，這一發現突顯了惡意攻擊者針對開源專案和開發者的規避偵測策略正在快速演變。她警告開發人員在採用開源程式庫之前必須謹慎評估其合法性，因為諸如星標數、提交次數和維護者數量等指標很容易被操縱。

儘管相關的npm套件已被移除，相關的GitHub帳戶也已關閉，但這一事件揭示了軟體威脅生態系統正在不斷演變。開發者和安全專家需要保持警惕，採取更加嚴格的驗證措施，以應對這些日益複雜的威脅。