Ethereum-Smart Contracts schleusen heimlich JavaScript-Malware ein, die auf Entwickler abzielt

Hacker nutzen Ethereum-Smart Contracts, um Malware-Payloads in scheinbar harmlosen npm-Paketen zu verbergen – eine Taktik, die die Blockchain in einen widerstandsfähigen Befehlskanal verwandelt und die Entfernung erschwert.

ReversingLabs beschrieb zwei npm-Pakete, colortoolsv2 und mimelib2, die einen Vertrag auf Ethereum auslesen, um eine URL für einen Downloader der zweiten Stufe abzurufen, anstatt die Infrastruktur direkt im Paket zu hinterlegen. Diese Wahl reduziert statische Indikatoren und hinterlässt weniger Spuren bei der Quellcode-Prüfung.

Die Pakete tauchten im Juli auf und wurden nach der Offenlegung entfernt. ReversingLabs verfolgte ihre Verbreitung zu einem Netzwerk von GitHub-Repositories zurück, die sich als Trading-Bots ausgaben, darunter solana-trading-bot-v2, mit gefälschten Sternen, aufgeblähten Commit-Historien und Sockenpuppen-Maintainern – eine soziale Ebene, die Entwickler zur schädlichen Abhängigkeitskette lenkte.

Die Downloadzahlen waren gering, aber die Methode ist entscheidend. Laut The Hacker News wurde colortoolsv2 siebenmal und mimelib2 einmal heruntergeladen, was dennoch zu opportunistischem Entwickler-Targeting passt. Snyk und OSV listen beide Pakete nun als bösartig, was Teams schnelle Prüfungen bei der Überprüfung historischer Builds ermöglicht.

Geschichte wiederholt sich

Der On-Chain-Befehlskanal erinnert an eine größere Kampagne, die Forscher Ende 2024 über Hunderte von npm-Typosquats hinweg verfolgten. In dieser Welle führten Pakete Installations- oder Preinstallationsskripte aus, die einen Ethereum-Vertrag abfragten, eine Basis-URL abholten und dann betriebssystemspezifische Payloads namens node-win.exe, node-linux oder node-macos herunterluden.

Checkmarx dokumentierte einen zentralen Vertrag unter 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, gekoppelt mit einem Wallet-Parameter 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, mit beobachteter Infrastruktur bei 45.125.67.172:1337 und 193.233.201.21:3001, unter anderem.

Phylums Deobfuskation zeigt den ethers.js-Aufruf getString(address) auf demselben Vertrag und protokolliert die Rotation der C2-Adressen im Laufe der Zeit – ein Verhalten, das den Vertragsstatus in einen verschiebbaren Zeiger für den Malware-Abruf verwandelt. Socket kartierte unabhängig die Typosquat-Flut und veröffentlichte passende IOCs, darunter denselben Vertrag und das Wallet, was die Konsistenz zwischen den Quellen bestätigt.

Eine alte Schwachstelle floriert weiter

ReversingLabs sieht die Pakete von 2025 als Fortsetzung der Technik, nicht des Umfangs, mit dem Unterschied, dass der Smart Contract die URL für die nächste Stufe und nicht das Payload selbst hostet.

Die Verbreitung über GitHub, einschließlich gefälschter Stargazer und Schein-Commits, zielt darauf ab, oberflächliche Prüfungen zu bestehen und automatisierte Abhängigkeitsaktualisierungen in Klonen der gefälschten Repos zu nutzen.

Das Design ähnelt früheren Nutzungen von Drittanbieter-Plattformen zur Umleitung, etwa GitHub Gist oder Cloud-Speicher, aber On-Chain-Speicherung bringt Unveränderlichkeit, öffentliche Lesbarkeit und einen neutralen Ort, den Verteidiger nicht einfach offline nehmen können.

Laut ReversingLabs umfassen konkrete IOCs aus diesen Berichten die Ethereum-Verträge 0x1f117a1b07c108eae05a5bccbe86922d66227e2b, die mit den Juli-Paketen verbunden sind, sowie den Vertrag von 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, das Wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, Host-Muster 45.125.67.172 und 193.233.201.21 mit Port 1337 oder 3001 sowie die oben genannten Plattform-Payload-Namen.

Hashes für die zweite Stufe 2025 umfassen 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, und für die Welle 2024 listet Checkmarx Windows-, Linux- und macOS-SHA-256-Werte auf. ReversingLabs veröffentlichte zudem SHA-1s für jede bösartige npm-Version, was Teams hilft, Artefaktspeicher auf frühere Exposition zu scannen.

Schutz vor dem Angriff

Zur Verteidigung besteht die unmittelbare Kontrolle darin, Lifecycle-Skripte während der Installation und CI zu verhindern. npm dokumentiert das Flag --ignore-scripts für npm ci und npm install, und Teams können es global in .npmrc setzen, dann notwendige Builds selektiv in einem separaten Schritt erlauben.

Die Seite zu den Node.js-Sicherheitsbest Practices empfiehlt denselben Ansatz, zusammen mit dem Festschreiben von Versionen über Lockfiles und einer strengeren Überprüfung von Maintainern und Metadaten.

Das Blockieren ausgehenden Traffics zu den oben genannten IOCs und das Alarmieren bei Build-Logs, die ethers.js initialisieren, um getString(address) abzufragen, bieten praktische Erkennungen, die mit dem chain-basierten C2-Design übereinstimmen.

Die Pakete sind verschwunden, das Muster bleibt, und On-Chain-Umleitung steht nun neben Typosquats und gefälschten Repos als wiederholbarer Weg, Entwicklerrechner zu erreichen.

Der Beitrag Ethereum smart contracts quietly push javascript malware targeting developers erschien zuerst auf CryptoSlate.