加密黑客现正利用以太坊智能合约掩盖恶意软件载荷

以太坊已成为软件供应链攻击的最新前沿。

ReversingLabs的研究人员本周早些时候 发现了两个恶意的 NPM 包，这些包利用以太坊智能合约来隐藏有害代码，使得恶意软件能够绕过传统的安全检查。

NPM 是用于运行环境 Node.js 的包管理器，被认为是全球最大的 软件注册库，开发者可以在此访问和共享代码，这些代码为数以百万计的软件程序 做出贡献。

这两个软件包，“colortoolsv2”和“mimelib2”，于七月上传至广泛使用的Node Package Manager仓库。乍一看它们似乎是简单的实用工具，但实际上，它们利用以太坊区块链获取隐藏的URL，指引受感染系统下载二阶段恶意软件。

通过将这些指令嵌入智能合约中，攻击者将其活动伪装成合法的区块链流量，从而增加了检测的难度。

“这是我们之前未曾见过的现象，”ReversingLabs研究员Lucija Valentić在报告中表示。“这凸显了恶意行为者通过针对开源代码库和开发者的攻击，快速演进的检测规避策略。”

该技术基于一套既有策略。过去的攻击曾利用 GitHub Gists、Google Drive 或 OneDrive 等受信任的服务来托管恶意链接。通过改用以太坊智能合约，攻击者为这一已然危险的供应链手段增添了加密货币元素的变奏。

该事件属于一项更大范围的行动。ReversingLabs发现这些软件包与伪造的GitHub代码库有关，这些代码库假冒加密货币交易机器人。这些代码库通过伪造的提交记录、虚假的用户账户以及夸大的星标数量来伪装成合法项目。

拉取代码的开发者存在在不知情的情况下引入恶意软件的风险。

开源加密工具链中的供应链风险并非新鲜事。去年，研究人员指出了超过20起针对开发者的恶意活动，这些活动通过 npm 和 PyPI 等代码仓库进行传播。

许多攻击旨在窃取钱包凭证或安装加密挖矿程序。但以太坊智能合约作为传播机制的使用显示出对手正在迅速适应，以融入区块链生态系统。

对开发者而言，一个重要的启示是，热门的提交记录或活跃的维护者身份可能被伪造，即使看似无害的软件包也可能隐藏恶意负载。