以太坊智能合约被滥用以隐藏 npm 恶意软件

发布日期: September 4, 2025|最后更新: September 4, 2025

ReversingLabs flags colortoolsv2、mimelib2：滥用以太坊智能合约隐藏 npm 恶意软件。一项实质性调查记录了攻击者通过 npm 发布恶意代码的计划，他们使用以太坊智能合约而非传统基础设施来隐藏和提供第二阶段命令的地址。他们还在 GitHub 上开展了一项活动：他们假扮成交易机器人，创建并提升了具有数千次提交和星级的软件源，之后项目就会被连接到恶意软件包作为依赖项。

Weex 横幅

链是如何运作的？从 NPM 到智能合约

从技术上讲，colortoolsv2 软件包包含一个简单的加载器（index.js），它调用外部命令，不是从本地脚本而是从以太坊智能合约中获取地址。Etherscan 显示该合约的地址为 0x1f171a1b07c108eae05a5bccbe86922d66227e2b，其读取函数会返回一个用于访问 C2 的 URL。这种策略使检测变得更加复杂：最终命令不是从存储库中提取，而是从公共区块链中提取。这一策略导致 colortoolsv2 于 7 月 7 日在 npm 上被封锁，之后攻击者又将恶意逻辑几乎相同的 mimelib2 和相同的智能合约换到了第二阶段。

GitHub 日志显示，colortoolsv2 和后来的 mimelib2 被添加到交易机器人的提交中，例如在 bot.ts 中，相应的导入出现在 src/index.ts 中。

以太坊生态系统的功能非常强大，这带来了大量机会，但也需要格外谨慎。进一步了解 什么是以太坊中的 MEV？揭秘 DeFi 力量游戏。

ReversingLabs 出于充分的理由，对与 colortoolsv2 相关的账户和项目网络给予了更多关注，这些账户和项目被展示为交易机器人和实用工具。像 solana-trading-bot-v2 这样的版本库看起来 "生机勃勃"：有数千次提交、数名 "维护者"、星级和 "观察者"，不过其中很大一部分活动都是自动提交（例如，带有 LICENSE 的操作），以及在 7 月 10 日前后创建的外观相似的账户，其内容极少，例如 README 说 "你好"。单个提交显示用户 slunfuedrac 和 cnaovalles 添加了恶意依赖关系；还提到了 pasttimerles，他们提交了一系列人为夸大指标的提交。所有这些都使 npm 依赖关系的插入在表面审查中不那么明显。

以下是 ReversingLabs 提供的与该活动相关的完整 "妥协指标"（IoC）：

npm 软件包：colortoolsv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27)；
mimelib2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea).
第二阶段SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21.
智能合约：0x1f171a1b07c108eae05a5bccbe86922d66227e2b。