Các hợp đồng thông minh Ethereum âm thầm phát tán mã độc javascript nhắm vào các nhà phát triển

Các hacker đang sử dụng các smart contract trên Ethereum để che giấu mã độc trong các gói npm tưởng chừng vô hại, một chiến thuật biến blockchain thành kênh chỉ huy bền vững và làm phức tạp quá trình gỡ bỏ.

ReversingLabs đã phân tích chi tiết hai gói npm, colortoolsv2 và mimelib2, đọc một contract trên Ethereum để lấy URL cho trình tải xuống giai đoạn hai thay vì mã hóa cứng hạ tầng trong chính gói, lựa chọn này giúp giảm các chỉ báo tĩnh và để lại ít dấu vết hơn trong quá trình kiểm tra mã nguồn.

Các gói này xuất hiện vào tháng 7 và đã bị xóa sau khi được tiết lộ. ReversingLabs đã truy vết việc quảng bá chúng đến một mạng lưới các kho lưu trữ GitHub giả mạo bot giao dịch, bao gồm cả solana-trading-bot-v2, với các lượt đánh giá sao giả, lịch sử commit bị thổi phồng và các maintainer giả mạo, tạo ra một lớp xã hội dẫn dắt các nhà phát triển đến chuỗi phụ thuộc độc hại.

Lượng tải xuống thấp, nhưng phương pháp mới là điều quan trọng. Theo The Hacker News, colortoolsv2 có bảy lượt tải xuống và mimelib2 có một lượt, điều này vẫn phù hợp với mục tiêu nhắm vào các nhà phát triển một cách cơ hội. Snyk và OSV hiện đã liệt kê cả hai gói là độc hại, cung cấp các kiểm tra nhanh cho các nhóm kiểm toán các bản dựng lịch sử.

Lịch sử lặp lại

Kênh chỉ huy on-chain này gợi nhớ đến một chiến dịch rộng lớn hơn mà các nhà nghiên cứu đã theo dõi vào cuối năm 2024 trên hàng trăm npm typosquat. Trong làn sóng đó, các gói thực thi các script install hoặc preinstall truy vấn một contract Ethereum, lấy một base URL, sau đó tải về các payload phù hợp với hệ điều hành có tên node-win.exe, node-linux hoặc node-macos.

Checkmarx đã ghi nhận một contract cốt lõi tại 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b kết hợp với một tham số ví 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, với hạ tầng quan sát được tại 45.125.67.172:1337 và 193.233.201.21:3001, cùng một số địa chỉ khác.

Phân tích giải mã của Phylum cho thấy lệnh gọi ethers.js tới getString(address) trên cùng contract và ghi nhận sự luân chuyển địa chỉ C2 theo thời gian, một hành vi biến trạng thái contract thành con trỏ di động để lấy mã độc. Socket đã độc lập lập bản đồ làn sóng typosquat này và công bố các IOC trùng khớp, bao gồm cùng contract và ví, xác nhận tính nhất quán giữa các nguồn.

Một lỗ hổng cũ vẫn tiếp tục tồn tại

ReversingLabs cho rằng các gói năm 2025 là sự tiếp nối về mặt kỹ thuật chứ không phải quy mô, với điểm khác biệt là smart contract chỉ lưu trữ URL cho giai đoạn tiếp theo, không phải payload.

Công việc phân phối trên GitHub, bao gồm các lượt đánh giá sao giả và các commit phụ, nhằm vượt qua kiểm tra sơ bộ và tận dụng các cập nhật phụ thuộc tự động trong các bản sao của kho lưu trữ giả.

Thiết kế này giống với việc sử dụng các nền tảng bên thứ ba để chuyển hướng, ví dụ như GitHub Gist hoặc lưu trữ đám mây, nhưng lưu trữ on-chain bổ sung tính bất biến, khả năng đọc công khai và một môi trường trung lập mà các bên phòng thủ không dễ dàng gỡ bỏ.

Theo ReversingLabs, các IOC cụ thể từ các báo cáo này bao gồm các contract Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b liên quan đến các gói tháng 7 và contract năm 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, ví 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, các mẫu host 45.125.67.172 và 193.233.201.21 với port 1337 hoặc 3001, và các tên payload nền tảng đã nêu ở trên.

Các hash cho giai đoạn hai năm 2025 bao gồm 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, và cho làn sóng năm 2024, Checkmarx liệt kê các giá trị SHA-256 cho Windows, Linux và macOS. ReversingLabs cũng đã công bố các SHA-1 cho từng phiên bản npm độc hại, giúp các nhóm quét kho lưu trữ hiện vật để kiểm tra phơi nhiễm trong quá khứ.

Bảo vệ trước cuộc tấn công

Để phòng thủ, biện pháp kiểm soát ngay lập tức là ngăn các script vòng đời chạy trong quá trình cài đặt và CI. npm đã ghi tài liệu về cờ --ignore-scripts cho npm ci và npm install, và các nhóm có thể thiết lập nó toàn cục trong .npmrc, sau đó chỉ cho phép các bản dựng cần thiết với một bước riêng biệt.

Trang best practices bảo mật của Node.js cũng khuyến nghị cách tiếp cận tương tự, cùng với việc cố định phiên bản qua lockfile và kiểm tra nghiêm ngặt hơn về maintainer và metadata.

Chặn lưu lượng outbound đến các IOC ở trên và cảnh báo trên log build khi khởi tạo ethers.js để truy vấn getString(address) cung cấp các phát hiện thực tiễn phù hợp với thiết kế C2 dựa trên blockchain.

Các gói đã biến mất, nhưng mô hình vẫn còn, và chuyển hướng on-chain giờ đây đứng cạnh typosquat và kho lưu trữ giả như một cách lặp lại để tiếp cận máy của nhà phát triển.

Bài viết Ethereum smart contracts quietly push javascript malware targeting developers xuất hiện đầu tiên trên CryptoSlate.