



Хакеры научились прятать вредоносное ПО в смарт-контрактах Ethereum
- Обнаружены два вредоносных пакета NPM, использующие Ethereum-контракты для сокрытия команд.
- Такой метод позволяет обходить сканирование и затрудняет выявление угроз.
- Кампания была частью более широкой схемы социальной инженерии через GitHub.
Исследователи компании ReversingLabs выявили новый метод распространения вредоносного кода, в котором смарт-контракты Ethereum применяются для скрытой доставки команд и ссылок. По их данным, хакеры внедряли зараженные пакеты в открытые репозитории, используя особенности блокчейна для обхода стандартных инструментов киберзащиты.
Под угрозой оказались пользователи, загружавшие два вредоносных пакета — colortoolsv2 и mimelib2. Они публиковались в июле 2025 года в NPM, крупнейшем хранилище JavaScript-библиотек. Вредоносный код не содержал прямых ссылок на управляющие серверы, а получал их из смарт-контрактов Ethereum, что делало сетевой трафик внешне легитимным и осложняло выявление.
После установки пакеты подключались к блокчейну, извлекали адреса серверов и загружали вторую фазу вредоносного ПО. Такой механизм превращал обычные смарт-контракты в инструмент маскировки URL-адресов и помогал злоумышленникам обходить автоматические проверки безопасности.
Как защититься от похищения криптовалют: советы от Juscutum 13.12.2023 6 мин 2269 читатьReversingLabs отмечает, что само использование блокчейна в атаках не ново — ранее аналогичные техники применялись хакерской группой Lazarus. Однако отличие нынешнего подхода в том, что контракты Ethereum использовались не для распространения файлов, а для размещения управляющих ссылок, что исследователи назвали беспрецедентным развитием методов уклонения от обнаружения.
По данным специалистов, вредоносные пакеты стали частью масштабной кампании
Читать на incrypted.com