- Dos paquetes npm, colortoolsv2 y mimelib2, extrajeron URL de comando y control de los contratos inteligentes de Ethereum para buscar malware de segunda etapa.
- La operación se vinculó a una red de ingeniería social de GitHub más amplia con repositorios de bots comerciales falsos y métricas de participación infladas.
- Los atacantes intercambiaron paquetes después de la eliminación y reutilizaron el mismo contrato en cadena, lo que ayudó a que el tráfico se mezclara con la actividad legítima de la cadena de bloques.
- Los investigadores publicaron IoC e instaron a los desarrolladores a verificar a los mantenedores, inspeccionar las dependencias y monitorear búsquedas inusuales en la cadena.
Los analistas de seguridad han detallado una intrusión en la cadena de suministro en la que se interceptaron paquetes npm. Contratos inteligentes de Ethereum Para recuperar enlaces de descarga ocultos para cargas útiles adicionales. Esta táctica oculta infraestructura maliciosa tras llamadas públicas de blockchain, lo que dificulta el análisis rutinario y la respuesta a incidentes.
El dúo de paquetes, colortoolsv2 y mimelib2, aparecieron en julio de 2025 y se eliminaron rápidamente del registro. Dirigido a los desarrolladores del ecosistema criptográfico, el código actuó como un descargador ligero que fusionó su actividad de red con... consultas ordinarias en cadena, según una investigación de la empresa de cadena de suministro de software ReversingLabs.
Lo que descubrieron los investigadores
En lugar de codificar puntos finales de forma rígida, los paquetes se obtuvieron URL de la siguiente etapa de un contrato inteligente de Ethereum siempre que se ejecutaran o importaran como dependencia. Esta indirección refleja técnicas de sigilo anteriores como EtherHiding y permitió que la amenaza se hiciera pasar por... tráfico legítimo de blockchainSi bien el comportamiento malicioso en el código npm era evidente, los proyectos de GitHub asociados se esforzaron más por parecer creíbles.
Cómo funcionó la indirección en cadena
Los investigadores descubrieron que colortoolsv2 incluía un cargador mínimo (incluida una rutina index.js) que consultaba un contrato en cadena Para un valor de cadena que representa la ubicación de descarga de la segunda etapa. El contrato en 0x1f171a1b07c108eae05a5bccbe86922d66227e2b expuso funciones de lectura que devolvían una URL, que el cargador utilizó para extraer una carga útil de un servidor controlado por el atacante.
Después de que npm bloqueara colortoolsv2 a principios de julio, los operadores introdujeron mimelib2 Con prácticamente la misma lógica y la misma referencia de contrato, minimizando los cambios y manteniendo intacto su canal de control. El componente de segunda etapa se ejecutó tras la recuperación, y los investigadores vincularon su hash para su detección y... triaje forense.
Un señuelo coordinado de GitHub
Las cargas de npm se difundieron a través de una red de repositorios engañosos de GitHub Publicidad de herramientas de trading automatizado, como solana-trading-bot-v2, ethereum-mev-bot-v2, arbitrage-bot y hyperliquid-trading-bot. Las cuentas detrás de estos proyectos tenían patrones de actividad diseñados para parecer auténticos: estrellas y observadores inflados, confirmaciones frecuentes (algunas triviales) y múltiples mantenedores registrados.
Los analistas asocian este esfuerzo de siembra con el llamado Red fantasma de observadores de estrellas, un clúster de distribución como servicio que inicia, bifurca, vigila y confirma masivamente repositorios dañinos para reforzar la visibilidad de los repositorios dañinos. Algunos identificadores de usuario citados en los historiales de confirmaciones agregaron las dependencias maliciosas directamente, y desde entonces se ha creado al menos una cuenta de GitHub relacionada. derribados.
¿Por qué esto evadió las defensas rutinarias?
Porque el descargador consultó un blockchain público Para obtener sus instrucciones, los filtros estándar y las listas de bloqueo de URL resultaron menos efectivos. Muchas herramientas de seguridad no marcan las llamadas de contrato de solo lectura, y el atacante podría rotar los endpoints de alojamiento actualizando los datos en cadena en lugar de tocar el código del paquete o infraestructura centralizadaEsa combinación eleva el nivel de detección y eliminación.
Los investigadores notaron que ideas similares habían surgido antes en operaciones centradas en criptomonedas, pero utilizando un contrato inteligente para ubicaciones de la etapa C2 El malware npm marca un cambio notable en la forma en que se investigan los ecosistemas de código abierto. Las campañas documentadas relacionadas con criptomonedas en repositorios públicos aumentaron en 2024, con más de veinte casos registrados, y este incidente muestra... Las técnicas están madurando.
Indicadores de compromiso (IoC)
Los siguientes identificadores se vincularon a la campaña y pueden ayudar caza de amenazas y detecciones:
- Versiones de npm colortoolsv2: 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (SHA1 1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (SHA1 db86351f938a55756061e9b1f4469ff2699e9e27)
- Versiones de npm mimelib2: 1.0.0 (SHA1 bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (SHA1 c5488b605cf3e9e9ef35da407ea848cf0326fdea)
- Carga útil de la segunda etapa: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
- Contrato inteligente: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b
Impacto en el desarrollador y comprobaciones recomendadas
Para los equipos que dependen de npm, el caso subraya que las señales de popularidad pueden ser fabricado. Verifique los mantenedores y los historiales de confirmaciones, examine las versiones recientes para detectar comportamientos inusuales de instalación o postinstalación y examine las dependencias que realizan llamadas a la API de blockchain o solicitudes de red dinámicas en tiempo de ejecución.
Las organizaciones deben combinar listas de paquetes permitidos, fijación de integridad (incluidos hashes para dependencias transitivas) y compilaciones reproducibles con análisis estático y de comportamiento. Monitoreo de red que detecta llamadas salientes inesperadas a Proveedores de RPC o el tráfico repentino a dominios desconocidos también puede hacer surgir el abuso de la indirección en cadena.
Antes de incorporar herramientas etiquetadas como bots comerciales o ayudantes de MEV, verifique si las cuentas y los repositorios referenciados tienen un historial real, no solo actividad explosiva En unos días. Extraiga paquetes localmente para su revisión manual, busque cargadores ofuscados y observe el código que lee el almacenamiento de contratos inteligentes para obtener URL ejecutables.
Los investigadores también recomiendan mapear cualquier referencia en cadena utilizada por scripts de compilación o de tiempo de ejecución, y observar si hay actualizaciones. estado del contrato que podría redirigir las descargas y documentar los IoC internamente para que las alertas persistan incluso si se eliminan las listas o cuentas públicas.
En conjunto, los hallazgos destacan cómo los contratos inteligentes de Ethereum se reutilizaron como un relé flexible para la información de C2, cómo npm y GitHub se integraron en la ruta de entrega y por qué Higiene más profunda del paquete Además, el monitoreo consciente de la cadena ahora es una apuesta segura para los equipos de desarrollo que trabajan con herramientas de código abierto y criptográficas.
