以太坊已成为软件供应链攻击的最新前线。

ReversingLabs的研究人员本周早些时候发现了两个恶意的NPM包，这些包利用以太坊智能合约来隐藏有害代码，使恶意软件能够绕过传统的安全检查。

NPM是Node.js运行环境的包管理器，被认为是世界上最大的软件下载库，开发者可以在这里访问和分享代码，贡献给数百万个软件程序。

这两个包“colortoolsv2”和“mimelib2”是在七月份上传到广泛使用的Node Package Manager库的。乍一看，它们似乎是简单的工具，但实际上，它们利用以太坊的区块链来获取隐藏的URL，指引被攻击的系统下载第二阶段的恶意软件。

通过将这些命令嵌入智能合约，攻击者将其活动伪装成合法的区块链流量，从而使检测变得更加困难。

“这是我们之前没有见过的，”ReversingLabs的研究员Lucija Valentić在他们的报告中表示。“这突显了恶意行为者在开源库和开发者中快速演变的检测规避策略。”

这一技术建立在旧的攻击手法之上。过去的攻击曾利用像GitHub Gists、Google Drive或OneDrive等可信服务来托管恶意链接。而现在，攻击者利用以太坊智能合约，给这一已经危险的供应链策略增添了加密货币的色彩。

这一事件是更广泛活动的一部分。ReversingLabs发现这些包与假冒的GitHub库有关，这些库伪装成加密货币交易机器人。这些库被虚假的提交、虚假的用户账户和夸大的星级数量填充，以看起来合法。

拉取代码的开发者面临在不知情的情况下导入恶意软件的风险。

开源加密工具中的供应链风险并不新鲜。去年，研究人员标记了20多个针对开发者的恶意活动，涉及npm和PyPI等库。

许多攻击旨在窃取钱包凭证或安装加密货币矿工。但使用以太坊智能合约作为交付机制表明，敌对者正在迅速适应，以融入区块链生态系统。

开发者需要注意的是，流行的提交或活跃的维护者可能是伪造的，即使看似无害的包也可能携带隐藏的有效载荷。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。