Introducere în amenințările cibernetice
Hackeri folosesc contracte inteligente Ethereum pentru a ascunde încărcături malware în pachete npm aparent inofensive, o tactică care transformă blockchain-ul într-un canal de comandă rezistent și complică acțiunile de eliminare.
Descoperiri recente
ReversingLabs a detaliat două pachete npm, colortoolsv2 și mimelib2, care citesc un contract pe Ethereum pentru a obține un URL pentru un downloader de a doua etapă, în loc să codifice infrastructura direct în pachet. Această alegere reduce indicatorii statici și lasă mai puține indicii în revizuirile codului sursă. Pachetele au apărut în iulie și au fost eliminate după divulgare. ReversingLabs a urmărit promovarea lor către o rețea de repozitorii GitHub care s-au pretins a fi boți de tranzacționare, inclusiv solana-trading-bot-v2, având stele false, istorii de commit-uri umflate și mentori falși, o stratagemă socială care a îndrumat dezvoltatorii către lanțul de dependență malițios.
Statistici ale descărcărilor
Descărcările au fost scăzute, colortoolsv2 având șapte descărcări și mimelib2 doar una, ceea ce se încadrează în țintirea oportunistă a dezvoltatorilor. Snyk și OSV acum listează ambele pachete ca fiind malițioase, oferind verificări rapide pentru echipele care auditează construcții istorice.
Tehnica de atac
Canalul de comandă on-chain reflectă o campanie mai largă urmărită de cercetători la sfârșitul anului 2024, care a implicat sute de typosquats npm. În acea ondă, pachetele executau scripturi de instalare sau preinstalare care interogau un contract Ethereum, recuperând un URL de bază și apoi descărcând încărcături specifice sistemului de operare numite node-win.exe, node-linux sau node-macos. Checkmarx a documentat un contract principal la 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b legat de un parametru de portofel 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, cu infrastructura observată la 45.125.67.172:1337 și 193.233.201.21:3001.
Continuarea tehnicii
ReversingLabs consideră că pachetele din 2025 reprezintă o continuare a tehnicii, dar cu o întorsătură, în care contractul inteligent găzduiește URL-ul pentru etapa următoare, nu încărcătura. Distribuția pe GitHub, inclusiv stele false și commit-uri minore, are scopul de a trece de o diligență casuală și de a profita de actualizările automate ale dependențelor în clonele repozitoriilor false.
Indicații de compromitere
Conform ReversingLabs, IOCs concrete din aceste rapoarte includ contractele Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b legate de pachetele din iulie și contractul din 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, portofelul 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, pattern-uri de găzduire 45.125.67.172 și 193.233.201.21 cu portul 1337 sau 3001, și numele de încărcături menționate anterior. Hash-urile pentru a doua etapă din 2025 includ 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, iar pentru valul din 2024, Checkmarx listează valorile SHA-256 pentru Windows, Linux și macOS.
Protecția împotriva atacurilor
Pentru apărare, controlul imediat este de a preveni rularea scripturilor de ciclu de viață în timpul instalării și CI. npm documentează opțiunea –ignore-scripts pentru npm ci și npm install, iar echipele pot seta aceasta global în .npmrc, permițând apoi selectiv construcțiile necesare cu un pas separat. Pagina de bune practici de securitate Node.js recomandă aceeași abordare, împreună cu blocarea versiunilor prin fișiere de blocare și o revizuire mai strictă a mentorilor și metadatelor. Blocarea traficului de ieșire către IOCs menționate și alertarea pe baza jurnalelor de construcție care inițiază ethers.js pentru a interoga getString(address) oferă detecții practice care se aliniază cu designul C2 bazat pe lanț.
Concluzie
Pachetele au dispărut, dar modelul rămâne, iar îndirectionarea on-chain acum se alătură typosquats și repozitorii false ca o modalitate repetabilă de a ajunge la mașinile dezvoltatorilor.
