loading...
软件安全公司逆向实验室近日披露一种新型攻击手法:黑客通过以太坊智能合约部署恶意代码,借助中毒的NPM开源库实施远程攻击。这一事件揭示了区块链技术被滥用的新趋势,引发行业对开发环境安全的深度担忧。
研究人员发现,名为 colortoolsv2 与 mimelib2 的两个NPM包被植入恶意脚本。这些包虽表面为常规开发工具,实则会连接以太坊智能合约,获取第二阶段恶意载荷的下载地址。这种将链上合约作为命令与控制(C2)通道的做法,在业内尚属首次。
ReversingLabs威胁研究员Lucija Valentić指出:“这种使用智能合约托管恶意链接的方式极具隐蔽性,且具备高度可变性——攻击者可随时更新合约内容,实现动态投毒。”她强调,此类“下载器”包每周甚至每日都会在npm仓库中轮换发布,极大增加了检测难度。
调查进一步显示,攻击者在GitHub上建立了庞大的虚假代码生态。多个存储库伪装成去中心化交易机器人、代币狙击工具或钱包插件,拥有数千次提交记录、高星标数和多名“贡献者”,营造出高度可信的假象。
Valentić分析称:“尽管代码本身简单,但其伪装策略极为精细。许多库看似由真实团队维护,实际仅为傀儡账户操控的‘数字空壳’,目的就是诱导开发者无意识引入恶意依赖。”
大型中心化交易所币安已将此次事件与朝鲜黑客组织关联。币安首席安全官Jimmy Su表示:“包裹投毒已成为朝鲜行为体的主要攻击手段之一。他们在过去几年中持续针对加密行业,取得显著成果。”
根据链上分析报告,2024年全球约61%的加密资产被盗案件(总金额达13亿美元)可追溯至朝鲜黑客。此外,FBI已认定史上最大规模的14亿美元Bybit攻击事件亦由朝鲜袭击者实施。
面对日益复杂的供应链攻击,主要交易所正加强情报共享。币安、Coinbase、Kraken等机构通过Telegram与Signal群组实时通报中毒库信息,形成跨平台响应网络。
“我们这个联盟长期处于第一线,是最早识别并应对新型威胁的主体。”Su表示,“虽然更正式的合作框架正在建立,但我们早已在实战中磨合多年。”目前,已有超过30个被确认的恶意NPM包被列入黑名单,并同步至主流CI/CD工具链中。
专家提醒:开发者应强化依赖审查流程,优先采用经过社区验证的知名库,避免盲目集成未审计代码。同时,建议启用自动化扫描工具,对所有外部依赖进行行为监控与签名校验。
538
753
713
407
876
365
380
874
318
211
