Дослідники кібербезпеки виявили новий спосіб приховування шкідливого програмного забезпечення через смартконтракти Ethereum, що значно ускладнює його виявлення стандартними інструментами захисту.
Про це розповідає Finway
Новий рівень кібератак через блокчейн Ethereum
Фахівці компанії ReversingLabs повідомили про виявлення двох шкідливих пакетів NPM, які використовували смартконтракти Ethereum для прихованої передачі команд та посилань. За їхніми спостереженнями, хакери вводили заражені інструменти до відкритих репозиторіїв, експлуатуючи особливості блокчейну для уникнення виявлення антивірусними системами.
Під загрозою опинилися користувачі, які встановлювали пакети colortoolsv2 і mimelib2, що з’явилися у липні 2025 року в найбільшому сховищі JavaScript-бібліотек NPM. Особливістю атаки стало те, що шкідливий код не містив відкритих посилань на сервери керування, а отримував їх безпосередньо зі смартконтрактів Ethereum. Це дозволяло маскувати шкідливий трафік під легітимний та ускладнювало його ідентифікацію.
Після встановлення пакети підключалися до блокчейну, де зчитували адреси серверів і завантажували другу фазу шкідливого ПЗ. Таким чином звичайні смартконтракти фактично ставали інструментом приховування URL-адрес, що допомагало обійти автоматизовані перевірки безпеки.
“ReversingLabs зазначає, що саме використання блокчейну в атаках не нове — раніше аналогічні техніки застосовувала хакерська група Lazarus. Однак відмінність нинішнього підходу в тому, що контракти Ethereum використовували не для поширення файлів, а для розміщення керівних посилань, що дослідники назвали безпрецедентним розвитком методів ухилення від виявлення”.
Соціальна інженерія та поширення атак через репозиторії
Шкідливі пакети стали частиною масштабної кампанії соціальної інженерії. Зловмисники створювали підроблені репозиторії на GitHub, видаючи їх за торгових ботів для криптоактивів. Для більшої правдоподібності використовували фальшиві коміти, кілька акаунтів-спостерігачів і професійно оформлену документацію, що імітувало активність справжніх розробників.
Фахівці ReversingLabs наголошують, що атаки на відкриті репозиторії набувають дедалі більшого масштабу. Протягом 2024 року було зафіксовано щонайменше 23 подібні кампанії, пов’язані з цифровими активами. Водночас зловмисники не обмежуються лише екосистемою Ethereum.
У квітні 2025 року в мережі поширювався фейковий бот для Solana, який викрадав криптогаманці користувачів, а раніше атаки були спрямовані на бібліотеку Python під назвою Bitcoinlib, що працює з біткоїном.
Експерти вважають, що поєднання блокчейн-технологій із соціальною інженерією свідчить про зростання креативності зловмисників. Нові методи дозволяють обходити традиційні засоби захисту і створюють серйозну загрозу для розробників і користувачів відкритого програмного забезпечення.
Варто нагадати, що у серпні 2025 року збитки індустрії від хакерських атак перевищили $163 млн.