以太坊智能合約悄悄推送針對開發者的javascript惡意軟體

駭客正在利用Ethereum智能合約，將惡意軟體載荷隱藏在看似無害的npm套件中，這種手法將區塊鏈變成一個具韌性的指令通道，並使移除行動變得更加複雜。

ReversingLabs詳細說明了兩個npm套件，colortoolsv2和mimelib2，這兩個套件會讀取Ethereum上的合約，以獲取第二階段下載器的URL，而不是將基礎設施硬編碼在套件本身，這樣的選擇減少了靜態指標，並在原始碼審查中留下更少線索。

這些套件於七月浮現，並在被揭露後移除。ReversingLabs追蹤到它們的推廣來自一個偽裝成交易機器人的GitHub倉庫網絡，包括solana-trading-bot-v2，這些倉庫擁有虛假的星標、膨脹的提交歷史和假帳號維護者，這種社交層將開發者引導至惡意依賴鏈。

下載量雖低，但方法意義重大。根據The Hacker News，colortoolsv2有七次下載，mimelib2有一次，這仍然符合機會主義開發者的目標。Snyk和OSV現在都將這兩個套件列為惡意，為審核歷史建置的團隊提供快速檢查。

歷史重演

鏈上指令通道呼應了研究人員在2024年底追蹤到的更大規模行動，當時數百個npm拼寫錯誤套件被發現。在那一波攻擊中，套件會執行install或preinstall腳本，查詢Ethereum合約，取得基礎URL，然後下載名為node-win.exe、node-linux或node-macos的作業系統專屬載荷。

Checkmarx記錄了一個核心合約位於0xa1b40044EBc2794f207D45143Bd82a1B86156c6b，並搭配錢包參數0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84，觀察到的基礎設施包括45.125.67.172:1337和193.233.201.21:3001等。

Phylum的去混淆分析顯示，ethers.js在同一合約上呼叫getString(address)，並記錄C2地址隨時間的輪換，這種行為將合約狀態變成惡意軟體檢索的可移動指標。Socket獨立繪製了拼寫錯誤套件洪流，並發布了相符的IOC，包括同一合約和錢包，確認了跨來源一致性。

舊漏洞持續猖獗

ReversingLabs將2025年的套件定位為技術延續而非規模擴大，變化在於智能合約僅託管下一階段的URL，而非載荷本身。

GitHub的分發操作，包括虛假點讚者和雜項提交，旨在通過初步盡職調查，並利用自動依賴更新滲透到假倉庫的複製品中。

這種設計類似於早期利用第三方平台進行間接導向，例如GitHub Gist或雲端儲存，但鏈上儲存增加了不可變性、公開可讀性，以及防禦方難以下線的中立場域。

根據ReversingLabs，這些報告中的具體IOC包括與七月套件相關的Ethereum合約0x1f117a1b07c108eae05a5bccbe86922d66227e2b，以及2024年合約0xa1b40044EBc2794f207D45143Bd82a1B86156c6b、錢包0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84、主機模式45.125.67.172和193.233.201.21（端口1337或3001），以及上述平台載荷名稱。

2025年第二階段的雜湊值包括021d0eef8f457eb2a9f9fb2260dd2e391f009a21，2024年那波攻擊則由Checkmarx列出Windows、Linux和macOS的SHA-256值。ReversingLabs也發布了每個惡意npm版本的SHA-1，有助於團隊掃描產物庫以檢查過去的暴露情況。

防禦此類攻擊

在防禦方面，最直接的控制措施是防止生命週期腳本在安裝和CI過程中執行。npm文件記載了npm ci和npm install的--ignore-scripts標誌，團隊可在.npmrc中全域設置，然後以單獨步驟選擇性允許必要建置。

Node.js安全最佳實踐頁面也建議採用相同方法，並透過lockfiles鎖定版本，以及更嚴格審查維護者和中繼資料。

封鎖對上述IOC的外部流量，並對初始化ethers.js查詢getString(address)的建置日誌發出警報，這些都是符合鏈上C2設計的實用偵測措施。

套件雖已下架，攻擊模式仍在，鏈上間接導向現已與拼寫錯誤套件和假倉庫並列，成為入侵開發者機器的可重複手法。

本文最早發表於CryptoSlate：Ethereum smart contracts quietly push javascript malware targeting developers。