Ethereum智能合约成为黑客隐藏恶意程式的新温床

近期，ReversingLabs的研究团队揭露了一项令人忧心的发现：黑客正巧妙利用Ethereum智能合约来隐藏恶意程式的网址。此次调查显示，攻击者透过npm软体套件colortoolv2和mimelib2作为下载器，一旦安装完成，便会查询Ethereum智能合约以获取第二阶段恶意程式的指令和控制（C2）基础设施资讯。

ReversingLabs的研究员Lucija Valentic表示，这种攻击手法极具创意且前所未见，成功规避了传统的扫描机制，这些机制通常会标记软体套件脚本中的可疑网址。

恶意程式巧妙隐藏于区块链中

黑客们利用Ethereum智能合约的特性，将恶意代码隐藏在看似平常的index.js档案中。执行时，该档案会存取区块链以取得C2伺服器的详细资讯。ReversingLabs的研究指出，这种利用区块链托管的方式标志着规避策略进入了崭新阶段。

研究人员在GitHub上进行了广泛扫描，发现这些npm套件被嵌入伪装成加密货币机器人的储存库中，如Solana-trading-bot-v2和Hyperliquid-trading-bot-v2等。这些储存库伪装成专业工具，拥有多次提交、容器和星标，但实际上都是虚假的。

黑客的精心伪装与持续演变

研究发现，执行提交或复制程式码库的帐户于7月创建，且未显示任何编码活动。大多数帐户在其程式码库中嵌入了README档案。提交次数是透过自动化程序人为生成的，目的在于夸大编码活动。例如，大部分记录的提交仅是许可证档案的更改，而非实质性更新。

研究人员发现，一旦被侦测到，黑客就会迅速将依赖项切换到不同的帐户。在colortoolsv2被发现后，他们转向使用mimelibv2，随后又转向mw3ha31q和cnaovalles，这些行为导致了提交数量的膨胀和恶意依赖项的植入。

ReversingLabs将此次活动与Stargazer的Ghost Network联系起来，这是一个协调帐户系统，旨在提高恶意储存库的可信度。此次攻击的目标是那些寻求开源加密货币工具的开发人员，他们可能会将夸大的GitHub统计数据误认为合法帐户的指标。

区块链生态系统面临的持续威胁

这次发现的攻击并非孤例。2025年3月，ResearchLabs就发现了其他恶意npm套件，这些套件使用启用反向shell的程式码修改了合法的Ethers套件。此外，还发现了Ether-provider2和ethers-providerZ这两个含有恶意程式码的npm套件。

回顾过去，2024年12月PyPI的ultralytics套件遭入侵用于散布加密货币挖矿恶意程式的事件，以及利用Google Drive和GitHub Gist等受信任平台隐藏恶意程式码的案例，都显示了这类攻击的多样性。根据研究，2024年共记录了23起与加密相关的供应链事件，涉及恶意程式和资料外泄等问题。

安全建议与未来展望

ReversingLabs的研究员Valentic强调，这一发现突显了恶意攻击者针对开源专案和开发者的规避侦测策略正在快速演变。她警告开发人员在采用开源程式库之前必须谨慎评估其合法性，因为诸如星标数、提交次数和维护者数量等指标很容易被操纵。

尽管相关的npm套件已被移除，相关的GitHub帐户也已关闭，但这一事件揭示了软体威胁生态系统正在不断演变。开发者和安全专家需要保持警惕，采取更加严格的验证措施，以应对这些日益复杂的威胁。