VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra hai gói phần mềm độc hại mới trên sổ đăng ký npm sử dụng hợp đồng thông minh cho chuỗi khối Ethereum để thực hiện các hành động độc hại trên các hệ thống bị xâm phạm, báo hiệu xu hướng các tác nhân đe dọa liên tục tìm kiếm những cách mới để phân phối phần mềm độc hại và hoạt động bí mật.

"Hai gói npm đã lạm dụng hợp đồng thông minh để che giấu các lệnh độc hại cài đặt phần mềm độc hại tải xuống trên các hệ thống bị xâm phạm", nhà nghiên cứu Lucija Valentić của ReversingLabs cho biết trong báo cáo chia sẻ với The Hacker News.


Các gói, cả hai đều được tải lên npm vào tháng 7 năm 2025 và không còn khả dụng để tải xuống, được liệt kê bên dưới -

    colortoolsv2 (7 lượt tải xuống)
    mimelib2 (1 lượt tải xuống)

Công ty bảo mật chuỗi cung ứng phần mềm cho biết các thư viện này là một phần của chiến dịch lớn hơn và tinh vi hơn tác động đến cả npm và GitHub, lừa các nhà phát triển không nghi ngờ tải xuống và chạy chúng.

Mặc dù các gói này không hề cố gắng che giấu chức năng độc hại của chúng, ReversingLabs lưu ý rằng các dự án GitHub đã nhập các gói này đã rất nỗ lực để làm cho chúng trông đáng tin cậy.

Đối với các gói tin, hành vi xấu sẽ xảy ra khi một trong số chúng được sử dụng hoặc đưa vào một dự án khác, khiến nó truy xuất và chạy tải trọng giai đoạn tiếp theo từ máy chủ do kẻ tấn công kiểm soát.

Mặc dù điều này là bình thường khi nói đến các trình tải xuống phần mềm độc hại, nhưng điểm khác biệt của nó là việc sử dụng hợp đồng thông minh Ethereum để dàn dựng các URL lưu trữ payload - một kỹ thuật gợi nhớ đến EtherHiding. Sự thay đổi này nhấn mạnh các chiến thuật mới mà các tác nhân đe dọa đang áp dụng để tránh bị phát hiện.

Cuộc điều tra sâu hơn về các gói này đã tiết lộ rằng chúng được tham chiếu trong một mạng lưới kho lưu trữ GitHub tự nhận là solana-trading-bot-v2 tận dụng "dữ liệu chuỗi thời gian thực để thực hiện giao dịch tự động, giúp bạn tiết kiệm thời gian và công sức". Tài khoản GitHub liên kết với kho lưu trữ này hiện không còn khả dụng.

Người ta đánh giá rằng các tài khoản này là một phần của dịch vụ phân phối theo dạng dịch vụ (DaaS) có tên là Stargazers Ghost Network, ám chỉ một nhóm tài khoản GitHub giả mạo được biết đến với việc đánh dấu sao, phân nhánh, theo dõi, cam kết và đăng ký vào các kho lưu trữ độc hại để tăng mức độ phổ biến một cách giả tạo.

Trong số các cam kết đó có những thay đổi về mã nguồn để import colortoolsv2. Một số kho lưu trữ khác bị phát hiện đang đẩy gói npm là ethereum-mev-bot-v2, arbitrage-bot và hyperliquid-trading-bot.

Việc đặt tên cho các kho lưu trữ GitHub này cho thấy các nhà phát triển và người dùng tiền điện tử là mục tiêu chính của chiến dịch, sử dụng kết hợp kỹ thuật xã hội và lừa dối.

"Điều quan trọng đối với các nhà phát triển là đánh giá từng thư viện mà họ đang cân nhắc triển khai trước khi quyết định đưa nó vào chu trình phát triển của mình", Valentić nói. "Và điều đó có nghĩa là phải xem xét kỹ lưỡng cả các gói nguồn mở và người bảo trì chúng: nhìn xa hơn số lượng người bảo trì, cam kết và lượt tải xuống để đánh giá liệu một gói nhất định - và các nhà phát triển đằng sau nó - có đúng như những gì họ tự giới thiệu hay không."