Исследователи безопасности из компании ReversingLabs, специализирующейся на защите цепочек поставок программного обеспечения, выявили сложную вредоносную кампанию. Согласно отчету, опубликованному в The Hacker News, атака была нацелена на разработчиков криптовалют через два вредоносных пакета, размещенных в реестре npm. Кампания использовала инновационную тактику для сокрытия вредоносных команд.
Основным нововведением злоумышленников стало использование смарт-контрактов на блокчейне Ethereum. Этот метод, напоминающий технику EtherHiding, позволял скрывать URL-адреса с полезной нагрузкой и команды внутри смарт-контракта, что значительно усложняло их обнаружение традиционными средствами безопасности. Вместо прямого встраивания вредоносного адреса в код пакета, скрипт делал запрос к смарт-контракту для его получения.
Вредоносные пакеты под названиями
Механизм атаки был многоэтапным. Сначала разработчик устанавливал один из скомпрометированных пакетов в свой проект. При использовании пакета активировался вредоносный код, который отправлял запрос к смарт-контракту Ethereum. В ответ он получал скрытый URL-адрес сервера, контролируемого злоумышленниками. С этого сервера загружался и запускался следующий этап вредоносной программы — загрузчик (downloader malware).
Эти пакеты являлись частью более крупной обманной операции, развернутой на платформах npm и GitHub. Если в самих npm-пакетах вредоносный код был слабо замаскирован, то связанные с ними проекты на GitHub были тщательно проработаны, чтобы выглядеть полностью легитимными и вызывать доверие у разработчиков.
Ключевым репозиторием-приманкой был
Для придания легитимности своим проектам злоумышленники использовали сеть под названием Stargazers Ghost Network. Эта сеть представляла собой кластер поддельных учетных записей GitHub, работающих по модели «распространение как услуга» (DaaS). Эти боты искусственно завышали популярность вредоносных репозиториев, ставя им звезды, создавая форки, подписываясь на обновления и делая коммиты, чтобы ввести в заблуждение потенциальных жертв.
Исследователь ReversingLabs, Луция Валентич, подчеркнула, что для разработчиков критически важно проводить тщательную оценку каждой библиотеки с открытым исходным кодом и ее сопровождающих перед интеграцией в проект. Она предостерегла от доверия поверхностным метрикам, таким как количество коммитов, загрузок или сопровождающих, и призвала проверять легитимность как самого пакета, так и его создателей.
Изображение носит иллюстративный характер
Основным нововведением злоумышленников стало использование смарт-контрактов на блокчейне Ethereum. Этот метод, напоминающий технику EtherHiding, позволял скрывать URL-адреса с полезной нагрузкой и команды внутри смарт-контракта, что значительно усложняло их обнаружение традиционными средствами безопасности. Вместо прямого встраивания вредоносного адреса в код пакета, скрипт делал запрос к смарт-контракту для его получения.
Вредоносные пакеты под названиями
colortoolsv2 и mimelib2 были загружены в реестр npm в июле 2025 года. На момент обнаружения пакет colortoolsv2 был скачан 7 раз, а mimelib2 — один раз. В настоящее время оба пакета удалены и более недоступны для загрузки. Механизм атаки был многоэтапным. Сначала разработчик устанавливал один из скомпрометированных пакетов в свой проект. При использовании пакета активировался вредоносный код, который отправлял запрос к смарт-контракту Ethereum. В ответ он получал скрытый URL-адрес сервера, контролируемого злоумышленниками. С этого сервера загружался и запускался следующий этап вредоносной программы — загрузчик (downloader malware).
Эти пакеты являлись частью более крупной обманной операции, развернутой на платформах npm и GitHub. Если в самих npm-пакетах вредоносный код был слабо замаскирован, то связанные с ними проекты на GitHub были тщательно проработаны, чтобы выглядеть полностью легитимными и вызывать доверие у разработчиков.
Ключевым репозиторием-приманкой был
solana-trading-bot-v2, который описывался как инструмент, что «использует ончейн-данные в реальном времени для автоматического совершения сделок, экономя ваше время и усилия». Учетная запись GitHub, связанная с этим проектом, была удалена. Пакет colortoolsv2 также продвигался через другие вредоносные репозитории, включая ethereum-mev-bot-v2, arbitrage-bot и hyperliquid-trading-bot. Для придания легитимности своим проектам злоумышленники использовали сеть под названием Stargazers Ghost Network. Эта сеть представляла собой кластер поддельных учетных записей GitHub, работающих по модели «распространение как услуга» (DaaS). Эти боты искусственно завышали популярность вредоносных репозиториев, ставя им звезды, создавая форки, подписываясь на обновления и делая коммиты, чтобы ввести в заблуждение потенциальных жертв.
Исследователь ReversingLabs, Луция Валентич, подчеркнула, что для разработчиков критически важно проводить тщательную оценку каждой библиотеки с открытым исходным кодом и ее сопровождающих перед интеграцией в проект. Она предостерегла от доверия поверхностным метрикам, таким как количество коммитов, загрузок или сопровождающих, и призвала проверять легитимность как самого пакета, так и его создателей.
