Дослідники компанії ReversingLabs повідомили про нову техніку поширення шкідливого ПЗ, у якій смартконтракти Ethereum використовуються для прихованої доставляння команд і посилань. Хакери розміщували заражені пакети у відкритих репозиторіях, а блокчейн застосовували для обходу стандартних інструментів безпеки.

Під удар потрапили користувачі, які завантажували пакети colortoolsv2 і mimelib2, опубліковані у липні 2025 року в NPM, найбільшому сховищі JavaScript-бібліотек. Вони не містили прямих посилань на керівні сервери, а отримували їх зі смартконтрактів Ethereum. Це робило трафік легітимним на вигляд і ускладнювало виявлення шкідливості.

Після інсталяції пакети зверталися до блокчейну, завантажували адреси серверів і отримували другу фазу ПЗ. Такий механізм перетворював смартконтракти на засіб маскування керівних URL-адрес. Раніше подібні методи використовувала група Lazarus, однак у цьому випадку контракти застосовувалися не для поширення файлів, а для збереження командних посилань — уперше в такій формі.

Фахівці зазначають, що атака була частиною масштабної кампанії соціальної інженерії. Зловмисники створювали підроблені GitHub-репозиторії, що імітували торгових ботів для криптоактивів, додавали фальшиві коміти та документацію, аби виглядати як справжні розробники.

У ReversingLabs підкреслили, що атаки на відкриті репозиторії зростають. Лише у 2024 році було зафіксовано щонайменше 23 кампанії, пов’язані з цифровими активами. Раніше жертвами зловмисників ставали екосистеми Solana та Bitcoin. Експерти попереджають: поєднання блокчейну із соціальною інженерією підвищує ефективність атак і створює серйозні ризики для розробників та користувачів відкритого ПЗ.

Источник: noworries.news