Ethereum Smart contratos presione silenciosamente a los desarrolladores de malware de JavaScript

Los piratas informáticos están utilizando contratos inteligentes de Ethereum para ocultar las cargas útiles de malware dentro de los paquetes NPM aparentemente benignos, una táctica que convierte la cadena de bloques en un canal de comando resistente y complica los derribos.

ReversingLabs detalló dos paquetes NPM, colortoolsv2 y mimelib2que lee un contrato sobre Ethereum para obtener una URL para un descargador de segunda etapa en lugar de una infraestructura de codificación dura en el paquete en sí, una opción que reduce los indicadores estáticos y deja menos pistas en las revisiones del código fuente.

Los paquetes aparecieron en julio y fueron retirados después de la divulgación. ReversingLabs rastreó su promoción a una red de repositorios de Github que se hizo pasar por bots comerciales, incluidos Solana-Trading-Bot-V2con estrellas falsas, antecedentes de confirmación inflados y mantenedores de calcetines, una capa social que dirigió a los desarrolladores hacia la cadena de dependencia maliciosa.

Las descargas fueron bajas, pero el método importa. Según las noticias del hacker, colortoolsv2 vi siete descargas y mimelib2 Uno, que todavía se ajusta a la orientación de desarrolladores oportunistas. Snyk y OSV ahora enumeran ambos paquetes como maliciosos, proporcionando verificaciones rápidas para equipos que auditan las compilaciones históricas.

Historia que se repite a sí misma

El canal de comando en la cadena se hace eco de una campaña más amplia que los investigadores rastrearon a fines de 2024 en cientos de tiposquatos de NPM. En esa ola, los paquetes ejecutaron scripts de instalación o preinstalación que consultaban un contrato de Ethereum, recuperaron una URL base y luego descargaron cargas útiles específicas del sistema operativo con nombre node-win.exe, node-linuxo node-macos.

CheckMarx documentó un contrato central en 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b junto con un parámetro de billetera 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84con infraestructura observada en 45.125.67.172:1337 y 193.233.201.21:3001entre otros.

La desobfuscación del filo muestra la ethers.js llamar a getString(address) En el mismo contrato y registra la rotación de las direcciones C2 con el tiempo, un comportamiento que convierte el estado del contrato en un puntero móvil para la recuperación de malware. Socket mapeó de forma independiente la inundación para escribir un tipo de IOC, incluidos el mismo contrato y billetera, lo que confirma la consistencia de código cruzado.

Una vieja vulnerabilidad continúa prosperando

ReversingLabs enmarca los paquetes 2025 como una continuación en la técnica en lugar de escala, con el giro de que el contrato inteligente aloja la URL para la siguiente etapa, no la carga útil.

El trabajo de distribución de GitHub, incluidos los falsos Stargazers y las comitales de tareas, tiene como objetivo pasar la debida diligencia casual y aprovechar las actualizaciones de dependencia automatizadas dentro de los clones de los reposadores falsos.

El diseño se asemeja al uso anterior de plataformas de terceros para la indirección, por ejemplo, GitHub GIST o almacenamiento en la nube, pero el almacenamiento en la cadena agrega inmutabilidad, legibilidad pública y un lugar neutral que los defensores no pueden desconectar fácilmente.

Según ReversingLabs, los COI concretos de estos informes incluyen los contratos de Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b Vinculado a los paquetes de julio y al contrato 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6bbilletera 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84patrones de host 45.125.67.172 y 193.233.201.21 con puerto 1337 o 3001, y nombres de carga útil de la plataforma mencionados anteriormente.

Los hash para la segunda etapa de 2025 incluyen 021d0eef8f457eb2a9f9fb2260dd2e391f009a21y para la onda 2024, CheckMarx enumera los valores de Windows, Linux y MacOS SHA-256. ReversingLabs también publicó SHA-1 para cada versión maliciosa de NPM, que ayuda a los equipos a escanear tiendas de artefactos para exposición pasada.

Protección contra el ataque

Para la defensa, el control inmediato es evitar que los scripts del ciclo de vida se ejecuten durante la instalación y el CI. NPM documenta el --ignore-scripts marcar para npm ci y npm instally los equipos pueden establecerlo a nivel mundial .npmrcluego, permita selectivamente las compilaciones necesarias con un paso separado.

La página Node.js Security Best Practices aconseja el mismo enfoque, junto con la fijación de versiones a través de archivos de bloqueo y una revisión más estricta de mantenedores y metadatos.

Bloquear el tráfico fuera de los COI y alertar en los registros de compilación que inicializan ethers.js para consultar getString(address) Proporcione detecciones prácticas que se alineen con el diseño C2 basado en la cadena.

Los paquetes se han ido, el patrón permanece, y la indirección en la cadena ahora se encuentra junto a los tiposquatos y los reposadores falsos como una forma repetible de llegar a las máquinas de desarrolladores.