Исследователи кибербезопасности обнаружили новый способ скрытия вредоносного программного обеспечения через смарт-контракты Ethereum, что значительно усложняет его обнаружение стандартными инструментами защиты.
Об этом сообщает Finway
Новый уровень кибератак через блокчейн Ethereum
Специалисты компании ReversingLabs сообщили о выявлении двух вредоносных пакетов NPM, которые использовали смарт-контракты Ethereum для скрытой передачи команд и ссылок. По их наблюдениям, хакеры помещали зараженные инструменты в открытые репозитории, эксплуатируя особенности блокчейна для избегания обнаружения антивирусными системами.
Под угрозой оказались пользователи, которые устанавливали пакеты colortoolsv2 и mimelib2, появившиеся в июле 2025 года в крупнейшем хранилище JavaScript-библиотек NPM. Особенностью атаки стало то, что вредоносный код не содержал открытых ссылок на серверы управления, а получал их непосредственно из смарт-контрактов Ethereum. Это позволяло маскировать вредоносный трафик под легитимный и усложняло его идентификацию.
После установки пакеты подключались к блокчейну, где считывали адреса серверов и загружали вторую фазу вредоносного ПО. Таким образом, обычные смарт-контракты фактически становились инструментом скрытия URL-адресов, что помогало обходить автоматизированные проверки безопасности.
«ReversingLabs отмечает, что использование блокчейна в атаках не ново — ранее аналогичные техники применяла хакерская группа Lazarus. Однако отличие нынешнего подхода в том, что контракты Ethereum использовались не для распространения файлов, а для размещения управляющих ссылок, что исследователи назвали беспрецедентным развитием методов уклонения от обнаружения».
Социальная инженерия и распространение атак через репозитории
Вредоносные пакеты стали частью масштабной кампании социальной инженерии. Злоумышленники создавали поддельные репозитории на GitHub, выдавая их за торговых ботов для криптоактивов. Для большей правдоподобности использовали фальшивые коммиты, несколько аккаунтов-наблюдателей и профессионально оформленную документацию, имитируя активность настоящих разработчиков.
Специалисты ReversingLabs подчеркивают, что атаки на открытые репозитории набирают все больший масштаб. В течение 2024 года было зафиксировано как минимум 23 подобные кампании, связанные с цифровыми активами. При этом злоумышленники не ограничиваются лишь экосистемой Ethereum.
В апреле 2025 года в сети распространялся фейковый бот для Solana, который похищал криптокошельки пользователей, а ранее атаки были направлены на библиотеку Python под названием Bitcoinlib, которая работает с биткойном.
Эксперты считают, что сочетание блокчейн-технологий с социальной инженерией свидетельствует о росте креативности злоумышленников. Новые методы позволяют обходить традиционные средства защиты и создают серьезную угрозу для разработчиков и пользователей открытого программного обеспечения.
Стоит напомнить, что в августе 2025 года убытки индустрии от хакерских атак превысили $163 млн.