软件安全公司 ReversingLabs 发现了两个开源代码包，这些包使用 Ethereum 智能合约下载恶意软件。这是恶意行为者试图通过被污染的区块链相关公共代码库攻击用户的“复杂活动”的一部分——这一攻击向量 Binance 之前曾与朝鲜黑客联系在一起。

这两个 Node Package Manager (NPM) 库，或称包，名为 colortoolsv2 和 mimelib2，在功能上几乎相同，因为它们包含两个文件，其中一个会运行一个脚本，通过以太坊 智能合约 下载恶意攻击的第二部分。NPM 包是可重用的开源代码集合，开发者经常使用。

ReversingLabs 的软件威胁研究员 Lucija Valentić 写道，智能合约的使用是“我们之前未见过的”。

“每周——如果不是每天——都有‘下载器’被发布到 npm 仓库中，这些下载器会获取后期的恶意软件，”她说。“新颖和不同之处在于使用以太坊智能合约来托管恶意命令所在的 URL，下载第二阶段的恶意软件。”

这两个包只是冰山一角，因为 ReversingLabs 发现了一个更大规模的被污染包的活动在 GitHub 上。该安全公司发现了一个与上述恶意包 colortoolsv2 相关的 GitHub 仓库网络。该网络大多数被标记为加密交易机器人或代币抢购工具。

“尽管 NPM 包并不复杂，但为了让持有恶意包的仓库看起来可信，投入了更多的工作，”Valentić 说。

她在报告中解释说，一些仓库有数千次提交，许多星标和几个贡献者，这可能会导致开发者信任它。但 ReversingLabs 认为，这些活动大多数是攻击者伪造的。

“这尤其危险，因为程序员不会认为使用公共维护的代码库会有问题，”一位在 Bubblemaps 的匿名链上侦探 0xToolman 告诉 Decrypt。“人们可能会假设开源等于公共监控等于安全。也可能是因为一个人无法检查他所使用的每一段代码，因为他并没有编写这些代码，而这样做需要花费大量时间。”

Binance 将 NPM 中毒与朝鲜民主主义人民共和国（DPRK）联系起来

主要集中交易所 Binance 上个月告诉 Decrypt 它意识到了此类攻击，并因此强迫员工仔细检查 NPM 库。

Binance 首席安全官 Jimmy Su 解释说，包中毒是朝鲜黑客日益增长的攻击向量，他将其视为对加密公司的最大威胁。

“目前对加密行业最大的威胁是国家行为者，特别是在 DPRK，[与] Lazarus，”Su 在八月告诉 Decrypt。“他们在过去两三年中专注于加密，并在其努力中取得了相当大的成功。”

据信，朝鲜黑客负责了 2024年所有被盗加密货币的61%，根据 Chainalysis 的一份 报告，总额达到13亿美元。自那时以来，FBI 将朝鲜攻击者归因于 $14亿美元的 Bybit 黑客事件，这是有史以来最大的加密黑客事件。

虽然 Su 指出的主要攻击向量是通过假员工，但 NPM 包中毒位居第二，与假面试诈骗并列。因此，主要加密交易所通过 Telegram 和 Signal 群组共享情报，以便能够突出被污染的库。

“我们大多数时间都在这个前线联盟中，因此对于第一响应者来说，当 [发生] 黑客攻击或 [我们需要] 事件响应时。我们总是在这个群组中，比如与其他交易所，如 Coinbase、Kraken，”Su 解释道。“我们与这些交易所已经合作多年。今天正在形成更正式的联盟，但就前线操作而言。我们已经这样做多年了。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。