恶意 npm 软件包利用以太坊智能合约攻击加密货币开发者

网络安全研究人员在 npm 注册表中发现了两个新的恶意软件包，它们利用以太坊区块链的智能合约对受感染的系统执行恶意操作，这表明威胁行为者不断寻找新的方式来传播恶意软件并躲避雷达的趋势。

ReversingLabs 研究员 Lucija Valentić在与 The Hacker News 分享的一份报告中表示： “这两个 npm 包滥用智能合约来隐藏恶意命令，从而在受感染的系统上安装下载器恶意软件。”

审计及其他
这些软件包均于 2025 年 7 月上传至 npm，现已不再提供下载，具体列表如下：

colortoolsv2（7 次下载）
mimelib2（1 次下载）
该软件供应链安全公司表示，这些库是影响 npm 和 GitHub 的更大、更复杂的活动的一部分，诱骗毫无戒心的开发人员下载并运行它们。

虽然这些软件包本身并没有试图掩盖其恶意功能，但 ReversingLabs 指出，导入这些软件包的 GitHub 项目煞费苦心地使它们看起来可信。

至于软件包本身，一旦它们被使用或包含在其他项目中，恶意行为就会开始，导致它从攻击者控制的服务器获取并运行下一阶段的有效载荷。

虽然这对于恶意软件下载器来说并不是什么新鲜事，但它的独特之处在于它使用以太坊智能合约来预置承载有效载荷的URL——这种技术让人联想到EtherHiding。这种转变凸显了威胁行为者为逃避检测而采取的新策略。

对这些软件包的进一步调查显示，它们在一个 GitHub 存储库网络中被引用，该存储库声称是一个 solana-trading-bot-v2，它利用“实时链上数据自动执行交易，节省您的时间和精力”。与该存储库关联的 GitHub 帐户已不再可用。

CIS 构建套件
经评估，这些账户是名为Stargazers Ghost Network 的分发即服务 (DaaS) 产品的一部分，该产品指的是一组虚假的 GitHub 账户，这些账户以加注星标、分叉、关注、提交和订阅恶意存储库而闻名，以人为地提高其知名度。

这些提交包括导入 colortoolsv2 的源代码更改。其他一些被发现推送该 npm 软件包的仓库包括 ethereum-mev-bot-v2、arbitrage-bot 和 hyperliquid-trading-bot。

这些 GitHub 存储库的命名表明，加密货币开发人员和用户是该活动的主要目标，采用了社会工程学和欺骗相结合的方式。

“对于开发人员来说，在决定将他们正在考虑实施的每个库纳入开发周期之前，对其进行评估至关重要，”Valentić 说道。“这意味着要揭开开源软件包及其维护者的面纱：除了维护者、提交和下载的原始数量之外，还要评估给定软件包及其背后的开发人员是否与其所宣传的相符。”