Abusan de los contratos inteligentes de Ethereum para ocultar malware npm

ReversingLabs flags colortoolsv2, mimelib2: Abuso de contratos inteligentes Ethereum para ocultar malware npm. Una investigación sustancial que documenta un esquema en el que los atacantes distribuyeron código malicioso a través de npm, utilizando un contrato inteligente de Ethereum en lugar de la infraestructura convencional para ocultar y servir direcciones para comandos de segunda etapa. También llevaron a cabo una campaña en GitHub: haciéndose pasar por bots de intercambio, crearon y potenciaron repositorios con miles de commits y estrellas, tras lo cual los proyectos se conectaron a los paquetes maliciosos como dependencias.

Banner de Weex

Cómo funcionaba la cadena: De NPM al contrato inteligente

Técnicamente hablando, el paquete colortoolsv2 contenía un simple cargador (index.js) que invocaba un comando externo, recuperando su dirección no de un script local sino de un contrato inteligente de Ethereum. Etherscan muestra el contrato en 0x1f171a1b07c108eae05a5bccbe86922d66227e2b con funciones de lectura que devuelven una URL para acceder al C2. Esta táctica complica la detección: el comando final no se extrae de un repositorio, sino de una blockchain pública. El esquema llevó a que colortoolsv2 fuera bloqueado en npm el 7 de julio, tras lo cual los atacantes cambiaron a mimelib2 con una lógica maliciosa casi idéntica y el mismo contrato inteligente para la segunda etapa.

Los registros de GitHub muestran commits en los que la dependencia de colortoolsv2, y más tarde mimelib2, se añadieron a los bots comerciales, por ejemplo, en bot.ts, con las importaciones correspondientes apareciendo en src/index.ts.

El ecosistema Ethereum es extremadamente funcional, lo que trae una gran cantidad de oportunidades, pero también requiere una mayor precaución. Más información sobre ¿Qué es MEV en Ethereum? Un juego de poder DeFi al descubierto.

ReversingLabs, por una buena razón, dedica atención adicional a la red de cuentas y proyectos asociados con colortoolsv2 que se presentaron como bots de comercio y utilidades. Repositorios como solana-trading-bot-v2 parecían "vivos": miles de commits, varios "mantenedores", estrellas y "observadores", aunque una parte significativa de la actividad consistía en commits automatizados (por ejemplo, operaciones con LICENSE) y cuentas parecidas creadas en torno al 10 de julio, con un contenido mínimo como un README diciendo "Hola" Los commits individuales muestran a los usuarios slunfuedrac y cnaovalles añadiendo las dependencias maliciosas; también se menciona a pasttimerles con una serie de commits inflando artificialmente las métricas. Todo esto hizo que la inserción de la dependencia npm fuera mucho menos perceptible en una revisión superficial.

Aquí están los Indicadores de Compromiso (IoC) completos de ReversingLabs asociados con la campaña:

• paquetes npm: colortoolsv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27);

• mimelib2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea).

• Segunda etapa: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21.

• Contrato inteligente: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b.

Prestando atención, como siempre

ReversingLabs dejó bastante claro cómo la infraestructura pública puede convertirse en un nodo de enmascaramiento para comandos maliciosos: se utilizó un contrato inteligente de Ethereum como "almacén" de direcciones C2, y la confianza en GitHub se formó artificialmente a través de métricas y una cuadrícula de cuentas.

Todo esto nos devuelve a los principios clave de Web3, a saber, que la confianza es matemática. Como resultado, la verificación de la dependencia debe basarse en el código, los artefactos y los indicadores de red, no en el número de commits y estrellas. Esté atento y manténgase en sintonía para conocer las últimas actualizaciones y oportunidades en cripto, blockchain y DeFi.