以太坊智能合约悄然推送针对开发者的JavaScript恶意软件

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

黑客利用以太坊智能合约隐藏恶意npm包载荷,将区块链作为隐蔽命令通道,增加追踪难度。近期发现的colortoolsv2和mimelib2等包通过读取链上合约获取恶意URL,配合伪造GitHub仓库诱导开发者下载。尽管下载量低,但攻击手法持续演进,需通过禁用安装脚本、监控网络请求等方式加强防护。

以太坊智能合约悄然推送针对开发者的JavaScript恶意软件

黑客正在利用以太坊智能合约将恶意软件载荷隐藏在看似无害的npm包中,这种策略将区块链转变为弹性命令通道,并增加了清除难度。

ReversingLabs 详细分析了两个npm包——colortoolsv2mimelib2,它们通过读取以太坊上的合约获取第二阶段下载器的URL,而非在包内硬编码基础设施。这种选择减少了静态指标,在源代码审查中留下的线索更少。

这些包于7月出现,并在披露后被移除。ReversingLabs追踪到其推广源自一个冒充交易机器人的GitHub仓库网络,包括solana-trading-bot-v2,这些仓库具有虚假星标、膨胀的提交历史和傀儡维护者,这一社交层将开发者导向恶意依赖链。

下载量虽低,但方法值得关注。据The Hacker News报道,colortoolsv2有7次下载,mimelib2有1次,这仍符合针对机会主义开发者的策略。SnykOSV现已将这两个包列为恶意,为审计历史构建的团队提供了快速检查途径。

历史重演

链上命令通道呼应了研究人员在2024年末追踪的更大规模活动,涉及数百个npm误植域名包。在那波攻击中,包执行安装或预安装脚本,查询以太坊合约,检索基础URL,然后下载名为node-win.exenode-linuxnode-macos的操作系统特定载荷。

Checkmarx 记录了核心合约0xa1b40044EBc2794f207D45143Bd82a1B86156c6b及钱包参数0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84,观察到的基础设施包括45.125.67.172:1337193.233.201.21:3001等。

Phylum的反混淆显示,通过ethers.js对同一合约调用getString(address),并记录了C2地址随时间的轮换,这种行为将合约状态转变为恶意软件检索的可移动指针。Socket独立映射了误植域名泛滥情况,并发布了匹配的IOC,包括相同的合约和钱包,证实了跨源一致性。

旧漏洞持续蔓延

ReversingLabs将2025年的包视为技术而非规模的延续,其变化在于智能合约托管的是下一阶段的URL而非载荷本身。

GitHub分发工作,包括虚假星标和琐碎提交,旨在通过随意的尽职调查,并利用假仓库克隆中的自动依赖更新。

以太坊智能合约悄然推送针对开发者的JavaScript恶意软件
以太坊智能合约悄然推送针对开发者的JavaScript恶意软件

加密投资者蓝图:关于持币被套、内部抢先交易和错过阿尔法的5天课程

我们尊重您的隐私。您的邮箱绝不会被共享。订阅即表示您同意我们的服务条款。

加密投资者蓝图:关于持币被套、内部抢先交易和错过阿尔法的5天课程

    发送第一课

    很好!您的第一课即将送达。

    请将[email protected]加入您的邮箱白名单。

    通过以下方式保持联系:

    该设计类似于早期使用第三方平台进行间接寻址,例如GitHub Gist或云存储,但链上存储增加了不可变性、公开可读性以及防御者难以轻易下线的中立场所。

    根据ReversingLabs,这些报告中的具体IOC包括与7月包相关的以太坊合约0x1f117a1b07c108eae05a5bccbe86922d66227e2b和2024年合约0xa1b40044EBc2794f207D45143Bd82a1B86156c6b,钱包0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84,主机模式45.125.67.172193.233.201.21(端口1337或3001),以及上述平台载荷名称。

    2025年第二阶段的哈希值包括021d0eef8f457eb2a9f9fb2260dd2e391f009a21,而对于2024年的攻击波,Checkmarx列出了Windows、Linux和macOS的SHA-256值。ReversingLabs还发布了每个恶意npm版本的SHA-1,这有助于团队扫描构件存储以查找过去的暴露情况。

    防范攻击

    对于防御,直接的控制是防止在安装和CI期间运行生命周期脚本。npm文档记录了npm cinpm install--ignore-scripts标志,团队可以在.npmrc中全局设置它,然后通过单独步骤有选择地允许必要的构建。

    Node.js安全最佳实践页面建议了相同的方法,以及通过锁文件固定版本和更严格地审查维护者和元数据。

    阻止对上述IOC的出站流量,并对初始化ethers.js以查询getString(address)的构建日志发出警报,提供了实用检测,与基于链的C2设计相一致。

    包已消失,模式仍在,链上间接寻址现在与误植域名和虚假仓库一起,成为触及开发者机器的可重复方式。

    声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/38141.html

    CHAINTT的头像CHAINTT
    上一篇 2025年9月4日
    下一篇 2025年9月5日

    相关推荐

    • 基于Rollup的预确认技术如何提升区块链效率与安全性

      以太坊多Rollup生态面临碎片化、中心化排序器审查等挑战,Based Rollup通过依赖L1排序提升去中心化但牺牲交易速度。预确认机制(如Justin Drake提出的Based preconfirmations)通过Slash执行提供即时承诺,Taiko和Puffer UniFi等项目正探索实践方案。Primev、Espresso等团队也在推进预确认技术,旨在解决流动性割裂问题并优化用户体验,成为以太坊Layer2发展的重要方向。

      2025年10月17日
      12700
    • Crypto Pulse——9月24日最新市场动态与热门区块链项目深度解析

      比特币和以太币24小时分别下跌1.07%和0.21%,现报63,008和2,630美元。加密市场恐惧&贪婪指数54呈中性。BTC周涨9%蓄力突破63500-64000压力位,ETH站稳2600关口。公链SUI生态TVL破9亿创纪录,7日暴涨48%;AI板块ARKM、TAO等24小时涨超15%。比特币ETF净流入453万美元(GBTC流出4033万),以太坊ETF净流出7921万。今日热点项目TIA(模块化区块链)24h涨24%报6.63美元。火星概念Meme币TERMINUS暴涨239%创新高,Telegram游戏Hamster Kombat进入空投间歇期。

      2025年11月24日
      11600
    • 就业数据修正导致加密货币市值蒸发600亿美元

      美国劳工统计局9月9日公布就业数据大幅下修,显示就业市场比预期疲软,引发加密货币市场两小时内蒸发600亿美元市值。比特币跌1.8%,以太坊跌1.6%,狗狗币、Solana等主流山寨币跌幅超3%。市场担忧美联储基于失实数据维持紧缩政策,但修正后数据提高了9月降息可能性。

      2025年9月10日
      15300
    • Native Markets 获得 USDH 代号发行 Hyperliquid 原生稳定币

      Hyperliquid验证者投票决定将USDH代号授予Native Markets,由其发行网络原生稳定币。USDH将完全由美国国债和现金支持,储备管理合规,收益将用于HYPE回购和生态发展。项目将分阶段启动,先进行限额测试,再开放现货交易和无限制铸造赎回。

      2025年9月15日
      14100
    • Movement公链创新方案:将Move引入EVM如何改变以太坊与Move生态格局

      Movement Labs推出首个基于Move语言的以太坊L2解决方案M2,通过MoveVM和Fractal编译器实现Solidity与Move生态的无缝衔接,兼具EVM流动性和Move高性能优势。其模块化架构包含去中心化排序器网络M1和ZK-Rollup主网M2,支持Aptos/Sui Move代码部署,并计划兼容Optimism等Rollup框架。该项目以3800万美元融资为支撑,旨在构建融合Solidity与Move的泛生态体系,解决公链性能与生态冷启动难题。

      2025年8月14日
      11600

    联系我们

    400-800-8888

    在线咨询: QQ交谈

    邮件:admin@example.com

    工作时间:周一至周五,9:30-18:30,节假日休息

    风险提示:防范以"数字货币""区块链"名义进行非法集资的风险