Tahimik na nagpapalaganap ng javascript malware na tumatarget sa mga developer ang Ethereum smart contracts

Gumagamit ang mga hacker ng Ethereum smart contracts upang itago ang malware payloads sa loob ng mga tila inosenteng npm packages, isang taktika na ginagawang matatag na command channel ang blockchain at nagpapahirap sa pagtanggal nito.

Detalyado ng ReversingLabs ang dalawang npm packages, colortoolsv2 at mimelib2, na nagbabasa ng isang kontrata sa Ethereum upang kunin ang URL para sa second-stage downloader sa halip na i-hardcode ang infrastructure sa mismong package, isang pagpipilian na nagpapababa ng static indicators at nag-iiwan ng mas kaunting bakas sa source code reviews.

Lumitaw ang mga packages noong Hulyo at tinanggal matapos itong ibunyag. Natunton ng ReversingLabs ang kanilang promosyon sa isang network ng mga GitHub repositories na nagpapanggap bilang trading bots, kabilang ang solana-trading-bot-v2, na may pekeng stars, pinalaking commit histories, at sock-puppet maintainers, isang social layer na nagtutulak sa mga developer patungo sa malisyosong dependency chain.

Mababa ang bilang ng downloads, ngunit mahalaga ang pamamaraan. Ayon sa The Hacker News, nakakuha ng pitong downloads ang colortoolsv2 at isa naman ang mimelib2, na akma pa rin sa opportunistic developer targeting. Ngayon ay itinuturing ng Snyk at OSV na malisyoso ang parehong packages, na nagbibigay ng mabilisang pagsusuri para sa mga team na nag-audit ng historical builds.

Umuulit ang Kasaysayan

Ang on-chain command channel ay sumasalamin sa mas malawak na kampanya na sinubaybayan ng mga researcher noong huling bahagi ng 2024 sa daan-daang npm typosquats. Sa alon na iyon, nagpapatupad ang mga packages ng install o preinstall scripts na nagtatanong sa isang Ethereum contract, kumukuha ng base URL, at pagkatapos ay nagda-download ng OS-specific payloads na pinangalanang node-win.exe, node-linux, o node-macos.

Naidokumento ng Checkmarx ang isang core contract sa 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b na may kasamang wallet parameter na 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, na may nakitang infrastructure sa 45.125.67.172:1337 at 193.233.201.21:3001, bukod sa iba pa.

Ipinapakita ng deobfuscation ng Phylum ang ethers.js call upang makuha ang getString(address) sa parehong kontrata at inililista ang pag-ikot ng mga C2 address sa paglipas ng panahon, isang ugali na ginagawang movable pointer ang contract state para sa malware retrieval. Independiyenteng na-mapa ng Socket ang typosquat flood at naglabas ng magkatugmang IOCs, kabilang ang parehong kontrata at wallet, na kinukumpirma ang consistency ng cross-source.

Isang Lumang Kahinaan na Patuloy na Umiiral

Inilalarawan ng ReversingLabs ang mga 2025 packages bilang pagpapatuloy ng teknik sa halip na sukat, na may twist na ang smart contract ang nagho-host ng URL para sa susunod na yugto, hindi ang payload.

Ang distribusyon sa GitHub, kabilang ang pekeng stargazers at chore commits, ay naglalayong makalusot sa simpleng due diligence at samantalahin ang automated dependency updates sa loob ng mga clone ng pekeng repos.

Ang disenyo ay kahawig ng naunang paggamit ng third-party platforms para sa indirection, halimbawa GitHub Gist o cloud storage, ngunit ang on-chain storage ay nagdadagdag ng immutability, public readability, at isang neutral na lugar na hindi madaling mapatigil ng mga defender.

Ayon sa ReversingLabs, ang mga konkretong IOC mula sa mga ulat na ito ay kinabibilangan ng Ethereum contracts 0x1f117a1b07c108eae05a5bccbe86922d66227e2b na konektado sa mga July packages at ang 2024 contract na 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, host patterns 45.125.67.172 at 193.233.201.21 na may port 1337 o 3001, at mga pangalan ng platform payload na nabanggit sa itaas.

Ang mga hash para sa 2025 second stage ay kinabibilangan ng 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, at para sa 2024 wave, inilista ng Checkmarx ang Windows, Linux, at macOS SHA-256 values. Naglabas din ang ReversingLabs ng SHA-1s para sa bawat malisyosong npm version, na tumutulong sa mga team na i-scan ang artifact stores para sa nakaraang exposure.

Pagprotekta Laban sa Atake

Para sa depensa, ang agarang kontrol ay ang pagpigil sa lifecycle scripts na tumakbo habang nag-i-install at CI. Idinokumento ng npm ang --ignore-scripts flag para sa npm ci at npm install, at maaaring itakda ito ng mga team nang global sa .npmrc, pagkatapos ay piliing payagan ang kinakailangang builds sa hiwalay na hakbang.

Ang Node.js security best practices page ay nagpapayo ng parehong pamamaraan, kasama ang pag-pin ng mga bersyon sa pamamagitan ng lockfiles at mas mahigpit na pagsusuri ng mga maintainer at metadata.

Ang pag-block ng outbound traffic sa mga nabanggit na IOC at pag-alerto sa build logs na nag-i-initialize ng ethers.js upang mag-query ng getString(address) ay nagbibigay ng praktikal na deteksyon na umaayon sa chain-based C2 design.

Nawala na ang mga packages, nananatili ang pattern, at ang on-chain indirection ay ngayon ay katabi ng typosquats at pekeng repos bilang isang paulit-ulit na paraan upang maabot ang mga developer machines.

Ang post na Ethereum smart contracts quietly push javascript malware targeting developers ay unang lumabas sa CryptoSlate.