Các gói npm độc hại đã sử dụng hợp đồng thông minh Ethereum để che giấu các liên kết tải trọng

Cập nhật lần cuối: 09/04/2025
tác giả: Nguồn CĐường mòn
  • Hai gói npm, colortoolsv2 và mimelib2, đã kéo các URL chỉ huy và điều khiển từ hợp đồng thông minh Ethereum để lấy phần mềm độc hại giai đoạn hai.
  • Hoạt động này liên quan đến mạng lưới kỹ thuật xã hội GitHub rộng hơn với các kho lưu trữ bot giao dịch giả mạo và số liệu tương tác được thổi phồng.
  • Những kẻ tấn công đã hoán đổi các gói sau khi gỡ xuống và sử dụng lại cùng một hợp đồng trên chuỗi, giúp lưu lượng truy cập hòa nhập với hoạt động blockchain hợp pháp.
  • Các nhà nghiên cứu đã công bố IoC và thúc giục các nhà phát triển xác minh người bảo trì, kiểm tra các phụ thuộc và theo dõi các tìm kiếm bất thường trên chuỗi.

Hợp đồng thông minh Ethereum trên npm

Các nhà phân tích bảo mật đã trình bày chi tiết về một cuộc xâm nhập chuỗi cung ứng trong đó các gói npm đã khai thác Hợp đồng thông minh Ethereum để truy xuất các liên kết tải xuống ẩn cho các tải trọng bổ sung. Chiến thuật này che giấu cơ sở hạ tầng độc hại đằng sau các lệnh gọi blockchain công khai, làm phức tạp quá trình quét thường xuyên và ứng phó sự cố.

Bộ đôi gói hàng, colortoolsv2 và mimelib2, xuất hiện vào tháng 2025 năm XNUMX và nhanh chóng bị xóa khỏi sổ đăng ký. Nhắm mục tiêu vào các nhà phát triển trong hệ sinh thái tiền điện tử, mã này hoạt động như một trình tải xuống mỏng, pha trộn hoạt động mạng của nó với các truy vấn thông thường trên chuỗitheo nghiên cứu của công ty chuỗi cung ứng phần mềm ReversingLabs.

Những gì các nhà nghiên cứu đã phát hiện

Thay vì mã hóa cứng các điểm cuối, các gói được lấy URL giai đoạn tiếp theo từ một hợp đồng thông minh Ethereum bất cứ khi nào chúng được thực thi hoặc nhập dưới dạng một phần phụ thuộc. Sự gián tiếp đó phản ánh các kỹ thuật ẩn danh trước đó như EtherHiding và cho phép mối đe dọa ngụy trang thành lưu lượng blockchain hợp pháp. Trong khi hành vi độc hại trong mã npm khá đơn giản, các dự án GitHub liên quan đã nỗ lực hơn để có vẻ đáng tin cậy.

Cách thức hoạt động của sự gián tiếp trên chuỗi

Các nhà điều tra phát hiện ra rằng colortoolsv2 đã cung cấp một trình tải tối thiểu (bao gồm một thói quen index.js) truy vấn một hợp đồng trên chuỗi cho một giá trị chuỗi biểu thị vị trí tải xuống của giai đoạn thứ hai. Hợp đồng tại 0x1f171a1b07c108eae05a5bccbe86922d66227e2b đã tiết lộ các hàm đọc trả về một URL, sau đó trình tải sử dụng để kéo dữ liệu từ máy chủ do kẻ tấn công kiểm soát.

Sau khi npm chặn colortoolsv2 vào khoảng đầu tháng XNUMX, các nhà điều hành đã giới thiệu mimelib2 với cùng một logic và cùng một tham chiếu hợp đồng, giảm thiểu các thay đổi trong khi vẫn giữ nguyên kênh điều khiển. Thành phần giai đoạn hai được thực thi sau khi truy xuất, và hàm băm của nó đã được các nhà nghiên cứu liên kết để phát hiện và phân loại pháp y.

Một mồi nhử GitHub được phối hợp

Các bản tải lên npm đã được gieo hạt thông qua một mạng lưới kho lưu trữ GitHub lừa đảo Quảng cáo các công cụ giao dịch tự động, chẳng hạn như solana-trading-bot-v2, ethereum-mev-bot-v2, arbitrage-bot và hyperliquid-trading-bot. Các tài khoản đứng sau những dự án này có mô hình hoạt động được thiết kế để trông giống thật: các ngôi sao và người theo dõi được thổi phồng, các cam kết thường xuyên (một số ít là nhỏ), và nhiều người duy trì được niêm yết.

Các nhà phân tích liên kết nỗ lực gieo hạt này với cái gọi là Mạng ma Stargazers, một cụm phân phối dưới dạng dịch vụ, tạo sao hàng loạt, phân nhánh, theo dõi và cam kết để tăng cường khả năng hiển thị của các kho lưu trữ độc hại. Một số tài khoản người dùng được trích dẫn trong lịch sử cam kết đã trực tiếp thêm các phụ thuộc độc hại, và ít nhất một tài khoản GitHub liên quan đã bị xóa khỏi danh sách. bị hạ.

Tại sao điều này lại tránh được các biện pháp phòng thủ thông thường

Bởi vì trình tải xuống đã tham khảo một blockchain công khai Để có được hướng dẫn của nó, các bộ lọc tiêu chuẩn và danh sách chặn URL kém hiệu quả hơn. Nhiều công cụ bảo mật không gắn cờ các lệnh gọi hợp đồng chỉ đọc, và kẻ tấn công có thể xoay vòng các điểm cuối lưu trữ bằng cách cập nhật dữ liệu trên chuỗi thay vì chạm vào mã gói hoặc cơ sở hạ tầng tập trungSự kết hợp đó nâng cao khả năng phát hiện và tiêu diệt.

Các nhà nghiên cứu lưu ý rằng những ý tưởng tương tự đã xuất hiện trước đây trong các hoạt động tập trung vào tiền điện tử, nhưng sử dụng hợp đồng thông minh để vị trí giai đoạn C2 Đối với npm, phần mềm độc hại đánh dấu một sự thay đổi đáng chú ý trong cách thức các hệ sinh thái mã nguồn mở đang bị thăm dò. Các chiến dịch liên quan đến tiền điện tử được ghi nhận trên các kho lưu trữ công khai đã gia tăng trong năm 2024, với hơn hai mươi trường hợp được ghi nhận, và sự cố này cho thấy kỹ thuật đang hoàn thiện.

Các chỉ số thỏa hiệp (IoC)

Các mã định danh sau đây đã được liên kết với chiến dịch và có thể hỗ trợ săn lùng mối đe dọa và phát hiện:

  • npm colortoolsv2 phiên bản: 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (SHA1 1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (SHA1 db86351f938a55756061e9b1f4469ff2699e9e27)
  • npm mimelib2 phiên bản: 1.0.0 (SHA1 bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (SHA1 c5488b605cf3e9e9ef35da407ea848cf0326fdea)
  • Tải trọng giai đoạn thứ hai: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
  • Hợp đồng thông minh: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b

Tác động của nhà phát triển và các kiểm tra được đề xuất

Đối với các nhóm dựa vào npm, trường hợp này nhấn mạnh rằng các tín hiệu phổ biến có thể là sản xuất. Kiểm tra người bảo trì và lịch sử cam kết, kiểm tra các bản phát hành gần đây để tìm hành vi cài đặt hoặc sau cài đặt bất thường và xem xét kỹ lưỡng các phụ thuộc thực hiện lệnh gọi API blockchain hoặc yêu cầu mạng động khi chạy.

Các tổ chức nên kết hợp danh sách gói cho phép, ghim toàn vẹn (bao gồm băm cho các phụ thuộc chuyển tiếp) và các bản dựng có thể tái tạo với phân tích tĩnh và hành vi. Giám sát mạng đánh dấu các cuộc gọi đi bất ngờ đến nhà cung cấp RPC hoặc lưu lượng truy cập đột ngột đến các miền không quen thuộc cũng có thể làm lộ ra sự lạm dụng gián tiếp trên chuỗi.

Trước khi kết hợp các công cụ được gắn nhãn là bot giao dịch hoặc trợ giúp MEV, hãy xác minh xem các tài khoản và kho lưu trữ được tham chiếu có hồ sơ theo dõi thực sự hay không, không chỉ hoạt động bùng nổ trong vài ngày. Tải các gói cục bộ để xem xét thủ công, quét các trình tải bị ẩn và theo dõi mã đọc lưu trữ hợp đồng thông minh để lấy URL thực thi.

Các nhà nghiên cứu cũng khuyến nghị lập bản đồ bất kỳ tham chiếu trên chuỗi nào được sử dụng bởi các tập lệnh xây dựng hoặc thời gian chạy, theo dõi các bản cập nhật trạng thái hợp đồng có thể chuyển hướng tải xuống và ghi lại IoC nội bộ để cảnh báo vẫn tiếp tục ngay cả khi danh sách công khai hoặc tài khoản bị xóa.

Tổng hợp lại, những phát hiện này làm nổi bật cách các hợp đồng thông minh Ethereum được tái sử dụng như một rơle linh hoạt cho thông tin C2, cách npm và GitHub được đưa vào đường dẫn phân phối và lý do tại sao vệ sinh bao bì sâu hơn cộng với việc giám sát theo chuỗi hiện là tiêu chuẩn bắt buộc đối với các nhóm phát triển làm việc với công cụ mã nguồn mở và mã hóa.

npm-2
Bài viết liên quan:
Các tác nhân đe dọa từ Bắc Triều Tiên triển khai các gói npm độc hại trong cuộc tấn công kỹ thuật xã hội tinh vi

bài viết liên quan: