加密货币武器化:恶意npm包利用以太坊智能合约实现隐蔽通信
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
ReversingLabs发现两个恶意npm包colortoolsv2和mimelib2通过以太坊智能合约传播恶意软件,伪装成实用工具。攻击者创建虚假GitHub仓库以提升合法性,并利用智能合约作为隐蔽的C2服务器,增加了防御难度,提醒开发者关注开源项目的安全风险。
🎯
关键要点
- ReversingLabs发现两个恶意npm包colortoolsv2和mimelib2利用以太坊智能合约传播恶意软件。
- 这两个软件包伪装成实用工具,攻击活动始于2025年7月7日发布的colortoolsv2。
- 攻击者在npm下架后迅速替换为包含相同恶意代码的mimelib2。
- 恶意软件包滥用智能合约隐藏恶意指令,安装下载器恶意软件。
- 攻击者通过创建虚假GitHub仓库提升合法性假象,未使软件包看起来有用。
- 以太坊智能合约被改造成隐蔽的命令与控制(C2)服务器,增加了防御难度。
- 攻击者利用智能合约托管恶意指令的URL,确保基础设施更具弹性。
- 研究人员发现GitHub上存在大量伪造的信誉工程,攻击者投入资源实施欺骗。
- 开发者不能仅凭星标、分叉或提交次数等表面信任信号评估开源项目的安全性。
- ReversingLabs警告恶意行为者的检测规避策略正在快速演进,开发者需提高警惕。
❓
延伸问答
恶意npm包colortoolsv2和mimelib2是如何传播恶意软件的?
这两个npm包通过以太坊智能合约隐藏恶意指令,伪装成实用工具进行传播。
攻击者是如何提升恶意npm包的合法性假象的?
攻击者通过创建虚假GitHub仓库,伪造提交和星标来提升合法性假象。
以太坊智能合约在恶意活动中扮演了什么角色?
以太坊智能合约被改造成隐蔽的命令与控制(C2)服务器,托管恶意指令的URL。
开发者如何识别这些恶意npm包?
开发者不能仅凭星标、分叉或提交次数等表面信任信号评估开源项目的安全性。
ReversingLabs对开发者有什么警告?
ReversingLabs警告恶意行为者的检测规避策略正在快速演进,开发者需提高警惕。
这些恶意软件包的攻击活动开始于何时?
攻击活动始于2025年7月7日发布的colortoolsv2。
➡️
