Дослідники компанії ReversingLabs виявили новий спосіб поширення вірусів, так хакери почали використовувати смартконтракти Ethereum для прихованої доставки команд і посилань. Такий підхід ускладнює виявлення загроз і дозволяє зловмисникам обходити звичайні системи кіберзахисту.
Як працює атака
У липні 2025 року в NPM, найбільшому сховищі JavaScript-бібліотек, було опубліковано два заражені пакети colortoolsv2 і mimelib2. Після встановлення вони не підключалися безпосередньо до керуючих серверів, а зверталися до смартконтрактів Ethereum, де зберігалися приховані адреси. Це робило трафік “легальним” на вигляд і дозволяло уникати виявлення.
Далі пакети завантажували другу фазу шкідливого ПЗ, що перетворювало смартконтракти на інструмент маскування URL-адрес. За словами аналітиків, такий підхід став безпрецедентним розвитком методів ухилення від перевірок безпеки.
У ReversingLabs наголошують, що використання блокчейну в атаках не нове, адже раніше подібні техніки застосовувала група Lazarus. Але вперше контракти Ethereum використовувалися не для розповсюдження файлів, а саме для розміщення керівних посилань.
Зловмисники також застосували соціальну інженерію: вони створювали підроблені репозиторії GitHub, видаючи їх за торгових ботів для криптоактивів. Щоб надати достовірності, хакери додавали фальшиві коміти, кілька акаунтів-спостерігачів і професійно оформлену документацію.
У компанії зазначають, що атаки на відкриті репозиторії стають дедалі поширенішими. Лише у 2024 році зафіксовано щонайменше 23 подібні кампанії, пов’язані з цифровими активами. При цьому мішенню зловмисників були не лише Ethereum, раніше з’являлися підроблені боти для Solana, які викрадали криптогаманці, а також атаки проти бібліотеки Bitcoinlib для Python.
Експерти підкреслюють, що поєднання блокчейн-технологій і соціальної інженерії демонструє зростаючу винахідливість хакерів. Це створює серйозну загрозу як для розробників, так і для користувачів відкритого програмного забезпечення.
