От доверия к кошмару: смарт-контракты Ethereum становятся оружием, разрушающим цепочки ПО

Представьте, что ваш любимый инструмент для разработки вдруг становится оружием хакеров. Звучит как сцена из фильма, но это реальность в мире кибербезопасности. Исследователи из ReversingLabs раскрыли новый трюк злоумышленников: они прячут вредоносные команды в смарт-контрактах Ethereum, чтобы обходить системы защиты. Это открытие касается двух библиотек NPM — colortoolsv2 и mimelib2, загруженных в июле 2025 года.

Как злоумышленники маскируют свои атаки

Вместо того чтобы напрямую вставлять вредоносные ссылки в код, хакеры используют смарт-контракты как источник URL-адресов. Это позволяет загружать вредоносную нагрузку второго уровня. Библиотеки состоят всего из пары файлов: скрипт index.js отвечает за извлечение и выполнение команд. Раньше для подобных целей часто выбирали доверенные сервисы, такие как GitHub Gist или Google Drive, но теперь смарт-контракты делают атаки еще хитрее и труднее для обнаружения.

По словам исследовательницы ReversingLabs Луции Валентич:

"Раньше мы такого не видели. Это подчеркивает быструю эволюцию стратегий уклонения от обнаружения злоумышленников, которые троллят репозитории с открытым исходным кодом и разработчиков".

Широкая кампания в GitHub

Эти библиотеки — лишь часть масштабной операции социальной инженерии. На платформе GitHub появились фальшивые проекты, имитирующие популярные инструменты для торговли криптовалютой, например solana-trading-bot-v2.

Репозитории наполняли тысячами бессмысленных изменений в коде, поддельными звездами и аккаунтами-подписчиками, чтобы создать видимость надежности. На самом деле их цель — распространять вредоносные зависимости через NPM.

Значение инцидента и уроки для сообщества

Этот случай вписывается в растущую тенденцию атак на цепочки поставок программного обеспечения. В 2024 году ReversingLabs зафиксировала 23 подобные кампании, многие из которых били по криптосообществу и цифровым кошелькам. Новизна здесь — в использовании смарт-контрактов Ethereum для доставки команд, что усложняет обнаружение.

В рамках исследования были выявлены конкретные хэши вредоносных библиотек и адрес смарт-контракта в сети Ethereum. Эти индикаторы компрометации (IoC) опубликованы для использования специалистами в целях выявления заражений. Это подчеркивает важность регулярных аудитов и мониторинга зависимостей в проектах.

Чтобы защититься, разработчики могут применять следующие меры:

• проверяйте источники зависимостей перед установкой;
• используйте инструменты вроде Snyk или Dependabot для сканирования уязвимостей;
• избегайте установки пакетов из непроверенных репозиториев;
• регулярно обновляйте смарт-контракты и проводите пентесты.

Этот инцидент напоминает о том, как быстро эволюционируют угрозы в цифровом мире. Оставайтесь бдительными — следующий шаг хакеров может быть еще изобретательнее.