แฮ็กเกอร์กำลังใช้สัญญา Ethereum Good เพื่อปกปิดเพย์โหลดมัลแวร์ภายในแพ็คเกจ NPM ที่เป็นพิษเป็นภัยซึ่งเป็นกลยุทธ์ที่เปลี่ยน blockchain ให้กลายเป็นช่องคำสั่งที่ยืดหยุ่นและทำให้การจับกุมมีความซับซ้อน
การย้อนกลับ มีรายละเอียด แพ็คเกจ NPM สองชุด colortoolsv2 และ Mimelib2ที่อ่านสัญญาเกี่ยวกับ Ethereum เพื่อดึง URL สำหรับตัวดาวน์โหลดขั้นที่สองแทนที่จะเป็นโครงสร้างพื้นฐานการเข้ารหัสในแพ็คเกจตัวเลือกที่ช่วยลดตัวบ่งชี้แบบคงที่และทิ้งเบาะแสน้อยลงในรีวิวซอร์สโค้ด
แพ็คเกจโผล่ขึ้นมาในเดือนกรกฎาคมและถูกลบออกหลังจากการเปิดเผย การย้อนกลับการติดตามการเลื่อนตำแหน่งของพวกเขาไปยังเครือข่ายที่เก็บ GitHub ที่โพสต์เป็นบอทการซื้อขายรวมถึง Solana-Buying and selling-Bot-V2ด้วยดาวปลอมประวัติศาสตร์ที่พองตัวและผู้ดูแลรักษาถุงเท้าซึ่งเป็นชั้นสังคมที่นำนักพัฒนาไปสู่ห่วงโซ่การพึ่งพาอาศัยที่เป็นอันตราย
การดาวน์โหลดต่ำ แต่วิธีการสำคัญ ต่อ ข่าวแฮ็กเกอร์– colortoolsv2 เห็นการดาวน์โหลดเจ็ดครั้งและ Mimelib2 หนึ่งซึ่งยังคงเหมาะกับการกำหนดเป้าหมายนักพัฒนาที่ฉวยโอกาส สไนค์ และ OSV ตอนนี้แสดงรายการแพ็คเกจทั้งสองว่าเป็นอันตรายให้การตรวจสอบอย่างรวดเร็วสำหรับทีมตรวจสอบงานสร้างประวัติศาสตร์
ประวัติศาสตร์ซ้ำตัวเอง
ช่องทางบัญชาการบนห่วงโซ่สะท้อนแคมเปญที่กว้างขึ้นที่นักวิจัยติดตามในช่วงปลายปี 2567 ในการพิมพ์ NPM หลายร้อยรายการ ในคลื่นนั้นแพ็คเกจที่ดำเนินการติดตั้งหรือการติดตั้งสคริปต์ล่วงหน้าที่สอบถามสัญญา Ethereum ดึง URL พื้นฐานแล้วดาวน์โหลด Payloads เฉพาะระบบปฏิบัติการชื่อ node-win.exe– node-linuxหรือ node-macos–
CheckMarx ที่ได้บันทึกไว้ สัญญาหลักที่ 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b ควบคู่ไปกับพารามิเตอร์กระเป๋าเงิน 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84ด้วยโครงสร้างพื้นฐานที่สังเกตได้ที่ 45.125.67.172:1337 และ 193.233.201.21:3001ในหมู่คนอื่น ๆ
ไฟลัม การทำให้หลั่งไหลออกมา แสดง ethers.js โทรหา getString(handle) ในสัญญาเดียวกันและบันทึกการหมุนของที่อยู่ C2 เมื่อเวลาผ่านไปพฤติกรรมที่เปลี่ยนสถานะสัญญาเป็นตัวชี้ที่เคลื่อนย้ายได้สำหรับการดึงมัลแวร์ ซ็อกเก็ต อย่างเป็นอิสระ Mapped Typosquat น้ำท่วมและตีพิมพ์ IOCs ที่ตีพิมพ์รวมถึงสัญญาและกระเป๋าเงินเดียวกันยืนยันความสอดคล้องข้ามแหล่งกำเนิด
ช่องโหว่เก่ายังคงเติบโต
ReversingLabs เฟรมแพ็คเกจ 2025 เป็นความต่อเนื่องในเทคนิคมากกว่าขนาดโดยการบิดที่สัญญาอัจฉริยะเป็นเจ้าภาพ URL สำหรับขั้นตอนต่อไปไม่ใช่น้ำหนักบรรทุก
งานกระจายของ GitHub รวมถึง Bogus Stargazers และการทำงานที่น่าเบื่อมีจุดมุ่งหมายที่จะผ่านความขยันเนื่องจากและใช้ประโยชน์จากการอัปเดตการพึ่งพาอัตโนมัติภายในโคลนนิ่งของ repos ปลอม
พิมพ์เขียวนักลงทุน crypto: หลักสูตร 5 วันเกี่ยวกับการถือกระเป๋า, การวิ่งด้านหน้าภายในและอัลฟ่าที่หายไป
การออกแบบมีลักษณะคล้ายกับการใช้แพลตฟอร์มของบุคคลที่สามก่อนหน้านี้สำหรับทางอ้อมเช่น GitHub Gist หรือที่เก็บข้อมูลบนคลาวด์ แต่การจัดเก็บบนโซ่ช่วยเพิ่มความไม่สามารถเปลี่ยนแปลงได้ความสามารถในการอ่านสาธารณะและสถานที่ที่เป็นกลาง
ต่อการย้อนกลับ IOCs คอนกรีตจากรายงานเหล่านี้รวมถึงสัญญา Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b เชื่อมโยงกับแพ็คเกจเดือนกรกฎาคมและสัญญา 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6bกระเป๋าสตางค์ 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84รูปแบบโฮสต์ 45.125.67.172 และ 193.233.201.21 ด้วยพอร์ต 1337 หรือ 3001 และชื่อแพลตฟอร์มที่ระบุไว้ข้างต้น
แฮชสำหรับขั้นตอนที่สองในปี 2025 รวมถึง 021d0eef8f457eb2a9f9fb2260dd2e391f009a21และสำหรับคลื่น 2024 CheckMarx แสดงรายการ home windows, linux และ macOS SHA-256 ReversingLabs ยังตีพิมพ์ SHA-1s สำหรับแต่ละเวอร์ชัน NPM ที่เป็นอันตรายซึ่งช่วยให้ทีมสแกนร้านค้าสิ่งประดิษฐ์สำหรับการเปิดรับแสงที่ผ่านมา
ป้องกันการโจมตี
สำหรับการป้องกันการควบคุมทันทีคือการป้องกันไม่ให้สคริปต์วงจรชีวิตทำงานระหว่างการติดตั้งและ CI NPM เป็นเอกสาร --ignore-scripts ตั้งค่าสถานะ npm ci และ npm set upและทีมสามารถตั้งค่าได้ทั่วโลก .npmrcจากนั้นเลือกอนุญาตให้สร้างที่จำเป็นด้วยขั้นตอนแยกต่างหาก
หน้าแนวทางปฏิบัติที่ดีที่สุดของ Node.js Safety ให้คำแนะนำวิธีการเดียวกันพร้อมกับเวอร์ชันที่ตรึงผ่าน Lockfiles และการตรวจสอบอย่างเข้มงวดของผู้ดูแลและข้อมูลเมตา
การปิดกั้นการรับส่งข้อมูลขาออกไปยัง IOCs ด้านบนและแจ้งเตือนในการสร้างบันทึกที่เริ่มต้น ethers.js เพื่อสอบถาม getString(handle) จัดเตรียม การตรวจจับในทางปฏิบัติ ที่สอดคล้องกับการออกแบบ C2 ที่ใช้โซ่
แพ็คเกจหายไปรูปแบบยังคงอยู่และทางอ้อมบนโซ่ตอนนี้ตั้งอยู่ข้างตัวพิมพ์ผิดและ repos ปลอมเป็นวิธีที่ทำซ้ำได้ในการเข้าถึงเครื่องจักรนักพัฒนา
