- แพ็คเกจ npm สองรายการ ได้แก่ colortoolsv2 และ mimelib2 ดึง URL คำสั่งและการควบคุมจากสัญญาอัจฉริยะ Ethereum เพื่อดึงมัลแวร์ระยะที่สอง
- การดำเนินการนี้เชื่อมโยงกับเครือข่ายโซเชียลวิศวกรรมของ GitHub ที่กว้างขึ้นพร้อมกับที่เก็บข้อมูลบอทซื้อขายปลอมและมาตรวัดการมีส่วนร่วมที่เกินจริง
- ผู้โจมตีได้แลกเปลี่ยนแพ็คเกจหลังจากการปิดระบบและนำสัญญาบนเชนเดิมมาใช้ซ้ำ ซึ่งช่วยให้ปริมาณการรับส่งข้อมูลผสมผสานเข้ากับกิจกรรมบล็อคเชนที่ถูกต้องตามกฎหมาย
- นักวิจัยเผยแพร่ IoC และกระตุ้นให้นักพัฒนาตรวจสอบผู้ดูแลระบบ ตรวจสอบการอ้างอิง และตรวจสอบการค้นหาบนเชนที่ผิดปกติ
นักวิเคราะห์ด้านความปลอดภัยได้ให้รายละเอียดเกี่ยวกับการบุกรุกห่วงโซ่อุปทานซึ่งมีการดักฟังแพ็กเกจ npm Ethereum สัญญาอัจฉริยะ Ethereum เพื่อดึงลิงก์ดาวน์โหลดที่ซ่อนอยู่สำหรับเพย์โหลดเพิ่มเติม กลยุทธ์นี้ปกปิดโครงสร้างพื้นฐานที่เป็นอันตรายไว้เบื้องหลังการเรียกใช้บล็อกเชนสาธารณะ ทำให้การสแกนตามปกติและการตอบสนองต่อเหตุการณ์มีความซับซ้อนมากขึ้น
แพ็กเกจคู่ colortoolsv2 และ mimelib2ปรากฏในเดือนกรกฎาคม 2025 และถูกลบออกจากทะเบียนอย่างรวดเร็ว โดยมุ่งเป้าไปที่นักพัฒนาในระบบนิเวศคริปโต โค้ดนี้ทำหน้าที่เป็นตัวดาวน์โหลดแบบบางที่ผสานกิจกรรมเครือข่ายเข้ากับ แบบสอบถามแบบออนเชนทั่วไปตามการวิจัยของบริษัท ReversingLabs ซึ่งเป็นบริษัทผู้จัดหาซอฟต์แวร์
สิ่งที่นักวิจัยค้นพบ
แทนที่จะเขียนโค้ดจุดสิ้นสุดแบบฮาร์ดโค้ด แพ็คเกจจะถูกดึง URL ขั้นถัดไป จากสัญญาอัจฉริยะ Ethereum ทุกครั้งที่มีการดำเนินการหรือนำเข้าเป็น dependency การตีความทางอ้อมนี้สะท้อนถึงเทคนิคการลอบเร้นก่อนหน้านี้ เช่น EtherHiding และเปิดโอกาสให้ภัยคุกคามแฝงตัวเป็น การรับส่งข้อมูลบล็อคเชนที่ถูกกฎหมายแม้ว่าพฤติกรรมที่เป็นอันตรายในโค้ด npm จะตรงไปตรงมา แต่โปรเจ็กต์ GitHub ที่เกี่ยวข้องก็ทำงานหนักขึ้นเพื่อให้ดูน่าเชื่อถือ
การทำงานของการอ้อมแบบออนเชน
นักวิจัยพบว่า colortoolsv2 จัดส่งตัวโหลดขั้นต่ำ (รวมถึงรูทีน index.js) ที่สอบถาม สัญญาแบบออนเชน สำหรับค่าสตริงที่แสดงตำแหน่งการดาวน์โหลดของขั้นตอนที่สอง สัญญาที่ 0x1f171a1b07c108eae05a5bccbe86922d66227e2b เปิดเผยฟังก์ชันการอ่านที่ส่งคืน URL ซึ่งตัวโหลดจะใช้ในการดึงข้อมูลเพย์โหลดจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
หลังจากที่ npm บล็อก colortoolsv2 ในช่วงต้นเดือนกรกฎาคม ผู้ดำเนินการได้เปิดตัว ไมเมลิบ2 ด้วยตรรกะที่เกือบจะเหมือนกันและการอ้างอิงสัญญาแบบเดียวกัน ลดการเปลี่ยนแปลงให้น้อยที่สุดในขณะที่ยังคงรักษาช่องควบคุมไว้ ส่วนประกอบขั้นที่สองถูกดำเนินการหลังจากการดึงข้อมูล และแฮชของมันถูกเชื่อมโยงโดยนักวิจัยเพื่อการตรวจจับและ การคัดแยกทางนิติเวช.
GitHub Lure ที่ประสานงานกัน
การอัปโหลด npm ได้รับการเพาะผ่านเครือข่ายของ คลังข้อมูล GitHub ที่หลอกลวง เครื่องมือโฆษณาซื้อขายอัตโนมัติ เช่น solana‑trading‑bot‑v2, ethereum‑mev‑bot‑v2, arbitrage‑bot และ hyperliquid‑trading‑bot บัญชีที่อยู่เบื้องหลังโครงการเหล่านี้มีรูปแบบกิจกรรมที่ออกแบบมาให้ดูเหมือนจริง เช่น ดาราและผู้ติดตามที่พองตัว คอมมิทบ่อยครั้ง (บางรายการเล็กน้อย) และผู้ดูแลระบบที่ลงรายการไว้หลายราย
นักวิเคราะห์เชื่อมโยงความพยายามในการเพาะเมล็ดพันธุ์นี้กับสิ่งที่เรียกว่า เครือข่ายผีสตาร์เกเซอร์ซึ่งเป็นคลัสเตอร์แบบแจกจ่ายตามบริการที่ทำการ mass-stars, forks, watchs และ commits เพื่อเพิ่มการมองเห็นคลังข้อมูลที่เป็นอันตราย แฮนเดิลผู้ใช้บางรายที่อ้างอิงในประวัติการ commit ได้เพิ่มการอ้างอิงที่เป็นอันตรายโดยตรง และอย่างน้อยหนึ่งบัญชี GitHub ที่เกี่ยวข้องได้ถูกเพิ่มเข้าไปแล้ว นำมาลง.
เหตุใดจึงเลี่ยงการป้องกันตามปกติ
เนื่องจากผู้ดาวน์โหลดปรึกษาหารือ blockchain สาธารณะ เพื่อให้ได้คำแนะนำ ตัวกรองมาตรฐานและรายการบล็อก URL มีประสิทธิภาพน้อยกว่า เครื่องมือรักษาความปลอดภัยจำนวนมากไม่ได้ตั้งค่าสถานะการเรียกใช้สัญญาแบบอ่านอย่างเดียว และผู้โจมตีสามารถหมุนเวียนจุดปลายทางโฮสติ้งได้โดยการอัปเดตข้อมูลบนเชน แทนที่จะแตะต้องโค้ดแพ็กเกจหรือ โครงสร้างพื้นฐานแบบรวมศูนย์การผสมผสานดังกล่าวช่วยยกระดับมาตรฐานการตรวจจับและการจับกุม
นักวิจัยสังเกตว่าแนวคิดที่คล้ายกันนี้เคยเกิดขึ้นมาก่อนในการดำเนินการที่เน้นการเข้ารหัส แต่การใช้สัญญาอัจฉริยะเพื่อ สถานที่ระยะ C2 สำหรับมัลแวร์ npm ถือเป็นการเปลี่ยนแปลงที่สำคัญในวิธีการตรวจสอบระบบนิเวศโอเพนซอร์ส แคมเปญที่เกี่ยวข้องกับการเข้ารหัสลับที่บันทึกไว้บนที่เก็บสาธารณะเพิ่มขึ้นในปี 2024 โดยมีการบันทึกกรณีมากกว่า XNUMX กรณี และเหตุการณ์นี้แสดงให้เห็นถึง เทคนิคต่างๆ กำลังพัฒนาไป.
ตัวชี้วัดการประนีประนอม (IoCs)
ตัวระบุต่อไปนี้เชื่อมโยงกับแคมเปญและสามารถช่วยเหลือได้ การล่าภัยคุกคาม และการตรวจจับ:
- npm colortoolsv2 เวอร์ชัน: 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (SHA1 1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (SHA1 db86351f938a55756061e9b1f4469ff2699e9e27)
- npm mimelib2 เวอร์ชัน: 1.0.0 (SHA1 bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (SHA1 c5488b605cf3e9e9ef35da407ea848cf0326fdea)
- น้ำหนักบรรทุกขั้นที่สอง: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
- สัญญาอัจฉริยะ: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b
ผลกระทบต่อนักพัฒนาและการตรวจสอบที่แนะนำ
สำหรับทีมที่พึ่งพา npm กรณีนี้เน้นย้ำว่าสัญญาณความนิยมสามารถ ผลิตตรวจสอบผู้ดูแลระบบและประวัติการยืนยัน ตรวจสอบรุ่นล่าสุดสำหรับพฤติกรรมการติดตั้งหรือหลังการติดตั้งที่ผิดปกติ และตรวจสอบการอ้างอิงที่ทำให้เกิดการเรียก API ของบล็อคเชนหรือการร้องขอเครือข่ายแบบไดนามิกในระหว่างการรันไทม์
องค์กรต่างๆ ควรรวมกัน รายการอนุญาตแพ็กเกจการตรึงความสมบูรณ์ (รวมถึงแฮชสำหรับการอ้างอิงแบบสกรรมกริยา) และการสร้างซ้ำได้ด้วยการวิเคราะห์แบบคงที่และเชิงพฤติกรรม การตรวจสอบเครือข่ายที่แจ้งเตือนการโทรออกที่ไม่คาดคิดไปยัง ผู้ให้บริการ RPC หรือการรับส่งข้อมูลแบบกะทันหันไปยังโดเมนที่ไม่คุ้นเคยยังสามารถทำให้เกิดการละเมิดทางอ้อมบนเชนได้อีกด้วย
ก่อนที่จะรวมเครื่องมือที่ติดป้ายว่าเป็นบอทซื้อขายหรือตัวช่วย MEV ให้ตรวจสอบว่าบัญชีและที่เก็บข้อมูลอ้างอิงมีประวัติการติดตามจริง ไม่ใช่แค่ กิจกรรมระเบิด ภายในไม่กี่วัน ดึงแพ็กเกจจากภายในเครื่องเพื่อตรวจสอบด้วยตนเอง สแกนหาตัวโหลดที่ซ่อนไว้ และเฝ้าดูโค้ดที่อ่านพื้นที่เก็บข้อมูลสัญญาอัจฉริยะเพื่อรับ URL ที่ปฏิบัติการได้
นักวิจัยยังแนะนำให้ทำการแมปการอ้างอิงแบบออนเชนที่ใช้โดยสคริปต์บิลด์หรือรันไทม์ โดยคอยดูการอัปเดต สถานะสัญญา ซึ่งสามารถเปลี่ยนเส้นทางการดาวน์โหลด และบันทึก IoC ไว้ภายในเพื่อให้การแจ้งเตือนยังคงอยู่แม้ว่ารายการสาธารณะหรือบัญชีจะถูกลบออกก็ตาม
เมื่อนำมารวมกันแล้ว ผลการวิจัยจะเน้นว่าสัญญาอัจฉริยะของ Ethereum ถูกนำมาใช้ใหม่อย่างไรในฐานะรีเลย์ที่ยืดหยุ่นสำหรับข้อมูล C2, npm และ GitHub ถูกผูกเข้ากับเส้นทางการจัดส่งอย่างไร และเหตุใด สุขอนามัยบรรจุภัณฑ์ที่ล้ำลึกยิ่งขึ้น นอกจากนี้ การตรวจสอบที่รับรู้แบบออนเชนยังถือเป็นเดิมพันสำคัญสำหรับทีมพัฒนาที่ทำงานกับเครื่องมือโอเพ่นซอร์สและการเข้ารหัส
