Смарт-контракти Ethereum тихо поширюють javascript-шкідливе програмне забезпечення, націлене на розробників

Хакери використовують смарт-контракти Ethereum для приховування шкідливих навантажень у, на перший погляд, нешкідливих npm-пакетах — тактика, яка перетворює блокчейн на стійкий командний канал і ускладнює ліквідацію загроз.

ReversingLabs детально описала два npm-пакети — colortoolsv2 та mimelib2, які зчитують контракт у мережі Ethereum для отримання URL-адреси для завантажувача другого етапу замість жорсткого кодування інфраструктури безпосередньо в пакеті. Такий вибір зменшує кількість статичних індикаторів і залишає менше слідів під час перевірки вихідного коду.

Пакети з’явилися в липні та були видалені після розкриття. ReversingLabs відстежила їх просування до мережі репозиторіїв GitHub, які видавали себе за торгових ботів, зокрема solana-trading-bot-v2, із фейковими зірками, завищеною історією комітів і підставними підтримувачами — соціальний рівень, який спрямовував розробників до ланцюга шкідливих залежностей.

Завантажень було небагато, але метод має значення. За даними The Hacker News, colortoolsv2 завантажили сім разів, а mimelib2 — один раз, що все одно відповідає опортуністичному таргетуванню розробників. Snyk і OSV тепер позначають обидва пакети як шкідливі, забезпечуючи швидку перевірку для команд, які аудіюють історичні збірки.

Історія повторюється

Ончейн-командний канал нагадує ширшу кампанію, яку дослідники відстежували наприкінці 2024 року серед сотень npm-тайпоскуатів. У тій хвилі пакети виконували install або preinstall скрипти, які зверталися до контракту Ethereum, отримували базову URL-адресу, а потім завантажували специфічні для ОС шкідливі файли з іменами node-win.exe, node-linux або node-macos.

Checkmarx задокументував основний контракт за адресою 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b у парі з параметром гаманця 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, із зафіксованою інфраструктурою на 45.125.67.172:1337 та 193.233.201.21:3001, серед інших.

Деобфускація від Phylum показує виклик ethers.js до getString(address) на тому ж контракті та фіксує ротацію C2-адрес із часом — поведінка, яка перетворює стан контракту на рухомий покажчик для отримання шкідливого ПЗ. Socket незалежно відобразив хвилю тайпоскуатів і опублікував відповідні IOC, включаючи той самий контракт і гаманець, підтверджуючи узгодженість між джерелами.

Стара вразливість продовжує існувати

ReversingLabs розглядає пакети 2025 року як продовження техніки, а не масштабу, з тією відмінністю, що смарт-контракт містить URL-адресу для наступного етапу, а не сам шкідливий файл.

Робота з розповсюдження на GitHub, включаючи фейкових підписників і коміти-рутини, спрямована на проходження поверхневих перевірок і використання автоматичних оновлень залежностей у клонах фейкових репозиторіїв.

Дизайн нагадує попереднє використання сторонніх платформ для опосередкування, наприклад, GitHub Gist або хмарних сховищ, але зберігання на блокчейні додає незмінність, публічну доступність і нейтральний майданчик, який захисники не можуть легко вимкнути.

За даними ReversingLabs, конкретні IOC із цих звітів включають смарт-контракти Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b, пов’язані з липневими пакетами, і контракт 2024 року 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, гаманець 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, шаблони хостів 45.125.67.172 і 193.233.201.21 з портами 1337 або 3001, а також назви шкідливих файлів, зазначені вище.

Хеші для другого етапу 2025 року включають 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, а для хвилі 2024 року Checkmarx надає SHA-256 для Windows, Linux і macOS. ReversingLabs також опублікувала SHA-1 для кожної шкідливої версії npm, що допомагає командам сканувати сховища артефактів на предмет минулого впливу.

Захист від атаки

Для захисту найперше потрібно запобігати виконанню скриптів життєвого циклу під час встановлення та CI. npm документує прапор --ignore-scripts для npm ci та npm install, і команди можуть встановити його глобально у .npmrc, а потім вибірково дозволяти необхідні збірки окремим кроком.

Сторінка найкращих практик безпеки Node.js радить той самий підхід разом із фіксацією версій через lockfiles і суворішим переглядом підтримувачів і метаданих.

Блокування вихідного трафіку до зазначених IOC і сповіщення про логи збірки, які ініціалізують ethers.js для запиту getString(address), забезпечують практичне виявлення, що відповідає C2-дизайну на блокчейні.

Пакети зникли, але схема залишилася, і ончейн-опосередкування тепер стоїть поряд із тайпоскуатами та фейковими репозиторіями як повторюваний спосіб досягти машин розробників.

Публікація Ethereum smart contracts quietly push javascript malware targeting developers вперше з’явилася на CryptoSlate.