以太坊智能合约被利用以隐藏恶意代码

Gate 新闻

2025年10月6日 03:28

网络安全研究人员揭露了一项复杂的恶意软件操作，该操作利用以太坊智能合约隐藏恶意软件网址。攻击者使用npm包colortoolv2和mimelib2作为初始下载向量，展示了一种创新的方法来规避传统安全措施。

安装后，这些 npm 包会启动一个过程，通过与以太坊智能合约交互，从一个命令与控制 (C2) 基础设施中检索二级恶意软件。安全专家 Lucija Valentic 将这种方法描述为前所未有，成功规避了通常会在包脚本中标记可疑 URL 的常规扫描。

伪装在公共区块链功能中的恶意软件

以透明程序形式设计的以太坊智能合约用于自动化区块链操作，但被黑客重新利用，以在明面上隐藏恶意代码。攻击向量使用了一个简单的 index.js 文件，该文件在执行时查询区块链以获取 C2 服务器信息。

研究人员指出，尽管在npm中下载器包并不常见，但使用区块链来托管恶意软件标志着规避策略的演变。进一步调查显示，这些恶意软件包嵌入在GitHub库中，伪装成各种平台的加密货币交易机器人。

这些欺骗性的代码库被制作得看起来像合法的专业工具，具有多个提交、容器和星标。然而，深入分析揭示了它们的虚假本质，大多数提交只是对许可证文件的表面更改，而不是实质性的代码更新。

发现恶意行为者的协调网络

调查将这一活动与一个复杂的账户网络联系起来，该网络旨在提升恶意存储库的可信度。此操作特别针对寻求开源加密货币工具的开发者，利用了将虚高的 GitHub 统计数据等同于合法性的趋势。

随着检测工作的发展，攻击者表现出的灵活性体现在他们频繁地在不同账户之间切换依赖关系。发现这一战术凸显了恶意行为者在渗透开源项目时所采用的检测规避策略的快速演变。

网络安全挑战的新篇章

这一事件是针对区块链生态系统攻击更广泛趋势的一部分。早在2025年，发现其他恶意的npm包被用来修补合法的与加密货币相关的库，添加了允许未经授权访问的代码。此外，像云存储服务和代码共享网站这样的可信平台已被利用来掩盖恶意代码的传播。

以太坊智能合约在恶意软件传播中的应用代表了一种新颖的方法，反映了日益复杂的威胁环境。它突显了开发者在集成之前严格验证开源库合法性的关键需求。

安全专家强调，传统的项目可信度指标，如星级数量、提交频率和维护者数量，容易被操控。他们建议对每个考虑纳入开发环境的库进行全面评估。

虽然已删除识别出的恶意软件包并关闭相关账户，但这一事件提醒我们，加密货币领域的软件安全威胁正在不断演变。

确保开源开发的安全性

鉴于这些发展，建议加密货币社区在采用开源工具时提高警惕。开发者和项目应实施强有力的验证过程，并在评估外部库和资源的可信度时考虑超出表面指标的多个因素。

随着区块链和加密货币行业的不断创新，安全实践也必须不断发展，以应对新的挑战。此次事件强调了在面对日益复杂的网络威胁时，持续保持警惕和适应的重要性。