Hackers carregamtracinteligentes Ethereum com malware oculto

A pesquisa da ReversingLabs descobriu uma campanha de malware que usavatracinteligentes Ethereum para ocultar URLs de software malicioso. As descobertas revelaram que os hackers usaram os pacotes npm colortoolv2 e mimelib2, que atuavam como downloaders. 

Depois que os pacotes npm são instalados, eles buscam malware de segundo estágio de uma infraestrutura de comando e controle (C2) consultandotracinteligentes Ethereum .

Lucija Valentic, pesquisadora do ReversingLabs, descreveu o ataque como criativo, observando que ele nunca havia sido visto antes. A abordagem dos invasores ignorou as varreduras tradicionais que normalmente sinalizam URLs suspeitas dentro de scripts de pacotes. 

Os agentes de ameaças escondem malware à vista de todos 

trac inteligentes Ethereum à vista de todos. Os payloads maliciosos eram ocultados com um simples arquivo index.js que, quando executado, acessava o blockchain para recuperar os detalhes do servidor de comando e controle (C2).

De acordo com a pesquisa da ReversingLabs , os pacotes de download não são padrão no npm, e a hospedagem de blockchain marcou um novo estágio nas táticas de evasão.

A descoberta levou os pesquisadores a realizar uma ampla varredura no GitHub, onde descobriram que os pacotes npm estavam incorporados em repositórios que se passavam por bots de criptomoedas. Os bots estavam disfarçados de Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 e muitos outros. Os repositórios estavam disfarçados de ferramentas profissionais,tracmúltiplos commits, contêineres e estrelas, mas, na realidade, eram apenas fabricados. 

De acordo com a pesquisa, as contas que realizaram commits ou bifurcaram os repositórios foram criadas em julho e não apresentaram nenhuma atividade de codificação. A maioria das contas tinha um arquivo README incorporado em seus repositórios. Foi descoberto que as contagens de commits foram geradas artificialmente por meio de um processo automatizado para inflar a atividade de codificação. Por exemplo, a maioria dos commits registrados eram apenas alterações no arquivo de licença, em vez de atualizações significativas.  

Pasttimerles, um identificador usado por um mantenedor, era notavelmente usado para compartilhar muitos commits. Slunfuedrac, outro identificador, estava vinculado à inclusão de pacotes npm maliciosos nos arquivos do projeto.

Uma vez detectados, os hackers continuaram alternando dependências para contas diferentes. Após a detecção do colortoosv2, eles alternaram para o mimelibv2 e, posteriormente, para o mw3ha31q e o cnaovalles, o que contribuiu para a inflação de commits e a inserção de dependências maliciosas, respectivamente. 

A pesquisa da ReversingLabs vinculou a atividade à Ghost Network da Stargazer, um sistema coordenado de contas que aumenta a credibilidade de repositórios maliciosos. O ataque teve como alvo desenvolvedores que buscam ferramentas de criptomoeda de código aberto e podem confundir estatísticas infladas do GitHub com contas legítimas.

A incorporação de malware na blockchain Ethereum marca uma nova fase na detecção de ameaças

O ataque descoberto segue uma série de ataques direcionados ao ecossistema blockchain. Em março de 2025, o ResearchLabs descobriu outros pacotes npm maliciosos que corrigiam pacotes Ethers legítimos com código que habilitava shells reversos. Os pacotes npm Ether-provider2 e ethers-providerZ contendo código malicioso que habilitava shells reversos foram descobertos. 

Vários casos anteriores, incluindo o comprometimento do pacote ultralytics da PyPI em dezembro de 2024, também foram revelados por distribuir malware para mineração de criptomoedas. Outrosdentincluíram plataformas confiáveis como Google Drive e GitHub Gist sendo usadas para mascarar código malicioso por meio de servidores C2.

De acordo com a pesquisa, 23dentna cadeia de suprimentos relacionados a criptomoedas foram registrados em 2024, variando de malware a violaçõesdent. 

A descoberta mais recente emprega truques antigos, mas apresenta a abordagem detracEthereum como um novo mecanismo. Valentic, pesquisador do Research Labs, disse que a descoberta destaca a rápida evolução das estratégias de evasão de detecção por agentes maliciosos que trollam projetos e desenvolvedores de código aberto. 

A pesquisa destacou a importância de verificar a legitimidade das bibliotecas de código aberto antes da adoção. Valentic alertou que os desenvolvedores devem avaliar cada biblioteca que estão considerando antes de incluí-la em seu ambiente de desenvolvimento. Ela acrescentou que ficou claro que indicadores como estrelas, confirmações e o número de mantenedores podem ser facilmente manipulados.    

Ambos dent , colortoolsv2 e mimelib2, foram removidos do npm e as GitHub foram fechadas, mas a atividade esclareceu como o ecossistema de ameaças de software está evoluindo.

Principais diferenças : os projetos de criptografia de ferramenta secreta usam para obter cobertura de mídia garantida