Эксперты из ReversingLabs раскрыли вредоносную кампанию, нацеленную на разработчиков через репозитории npm и GitHub, в которой применялся необычный метод использования смарт-контрактов Ethereum для сокрытия инфраструктуры управления и контроля.
Кампания впервые была выявлена в начале июля, когда исследователь RL Карло Занки обнаружил пакет под названием colortoolsv2 в npm. Его быстро удалили, но злоумышленники попытались продолжить атаку, опубликовав дубликат пакета mimelib2. Оба пакета развёртывали вредоносную нагрузку второго этапа через инфраструктуру блокчейна.
Вредоносные загрузчики npm появляются регулярно, но обычно они содержат URL-адреса или скрипты, встроенные в сам пакет. Конкретно colortoolsv2 и mimelib2 эксплуатировали смарт-контракты Ethereum для хранения и доставки URL-адресов, используемых для загрузки вредоносного ПО второго этапа. Эта тактика значительно затрудняла обнаружение, поскольку вредоносная инфраструктура была скрыта в коде блокчейна, а не в файлах пакета.
Исследователи RL также узнали, что пакеты npm были связаны с более широкой кампанией на GitHub. Поддельные репозитории, выдаваемые за ботов для торговли криптовалютой, выглядели надёжными: тысячи коммитов, множество мейнтейнеров и активные наблюдатели. Однако значительная часть этой активности была сфабрикована. Наиболее ярким примером был репозиторий solana-trading-bot-v2, в котором содержался вредоносный пакет npm. Хотя проект казался серьёзным, более детальное изучение выявило сеть поддельных учётных записей, поддерживающих его.
Описанное открытие пополняет растущий список атак на цепочки поставок ПО в сфере криптовалют. Согласно отчёту RL, в 2024 году было зафиксировано 23 подобных кампании, включая взлом пакета PyPI ultralytics в декабре, в результате которого был обнаружен майнер. Все эти инциденты демонстрируют эволюционирующую тактику злоумышленников, эксплуатирующих как репозитории с открытым исходным кодом, так и технологию блокчейн. В отчёте сделан вывод о том, что бдительность и более эффективные инструменты оценки пакетов имеют решающее значение в защите цифровых активов и сред разработки.
Усам Оздемиров
