加密黑客现在正在使用以太坊智能合约来掩盖恶意软件的有效载荷

以太坊已成为软件供应链攻击的最新前线。

ReversingLabs 的研究人员本周早些时候发现了两个恶意 NPM 包，它们使用以太坊智能合约来隐藏有害代码，从而使恶意软件能够绕过传统的安全检查。

NPM 是运行时环境 Node.js 的包管理器，被认为是世界上最大的软件注册中心，开发人员可以在其中访问和共享数百万个软件程序的代码。

名为“colortoolsv2”和“mimelib2”的软件包于7月被上传到广泛使用的Node.js软件包管理器存储库。乍一看，它们似乎是简单的实用程序，但实际上，它们利用以太坊的区块链来获取隐藏的URL，引导受感染的系统下载第二阶段恶意软件。

通过将这些命令嵌入智能合约中，攻击者将其活动伪装成合法的区块链流量，从而使检测更加困难。

ReversingLabs 研究员 Lucija Valentić 在报告中表示：“这是我们从未见过的。它凸显了恶意攻击者针对开源存储库和开发者的检测规避策略的快速演变。”

该技术基于一套老套的策略。过去的攻击曾利用 GitHub Gists、Google Drive 或 OneDrive 等可信服务来托管恶意链接。而通过利用以太坊智能合约，攻击者为本已危险的供应链策略添加了加密元素。

此次事件是一场更广泛攻击活动的一部分。ReversingLabs 发现了与虚假 GitHub 代码库绑定的软件包，这些代码库伪装成加密货币交易机器人。这些代码库充斥着虚假的提交、虚假的用户账户和夸大的星级，使其看起来像是合法的。

删除代码的开发人员在不知情的情况下冒着导入恶意软件的风险。

开源加密工具的供应链风险由来已久。去年，研究人员发现了 20 多起通过 npm 和 PyPI 等存储库针对开发者的恶意攻击活动。

许多攻击旨在窃取钱包凭证或安装加密货币矿工。但使用以太坊智能合约作为交付机制表明，攻击者正在迅速适应并融入区块链生态系统。

开发人员需要注意的是，流行的提交或活跃的维护者可能是伪造的，甚至看似无害的软件包也可能携带隐藏的有效载荷。