- Divas npm pakotnes, colortoolsv2 un mimelib2, no Ethereum viedajiem līgumiem izvilka komandu un vadības URL, lai ielādētu otrās pakāpes ļaunprogrammatūru.
- Operācija bija saistīta ar plašāku GitHub sociālās inženierijas tīklu, kurā tika izmantoti viltoti tirdzniecības robotu repo un uzpūsti iesaistes rādītāji.
- Uzbrucēji pēc noņemšanas apmainījās ar pakotnēm un atkārtoti izmantoja to pašu ķēdes līgumu, palīdzot datplūsmai saplūst ar likumīgām blokķēdes aktivitātēm.
- Pētnieki publicēja IoC un mudināja izstrādātājus pārbaudīt uzturētājus, pārbaudīt atkarības un uzraudzīt neparastas meklēšanas ķēdē.
Drošības analītiķi ir detalizēti aprakstījuši ielaušanos piegādes ķēdē, kurā tika izmantotas npm pakotnes. Ethereum viedie līgumi lai izgūtu slēptas lejupielādes saites papildu kravām. Šī taktika maskē ļaunprātīgu infrastruktūru aiz publiskiem blokķēdes izsaukumiem, sarežģot ikdienas skenēšanu un incidentu reaģēšanu.
Komplektu duets, colortoolsv2 un mimelib2, parādījās 2025. gada jūlijā un tika ātri noņemti no reģistra. Orientējoties uz kriptovalūtu ekosistēmas izstrādātājiem, kods darbojās kā plāns lejupielādētājs, kas apvienoja savu tīkla aktivitāti ar parastie ķēdes vaicājumi, saskaņā ar programmatūras piegādes ķēdes uzņēmuma ReversingLabs pētījumu.
Ko pētnieki atklāja
Galapunktu cietā kodēšanas vietā pakotnes tika izgūtas nākamās pakāpes URL no Ethereum viedā līguma ikreiz, kad tie tika izpildīti vai importēti kā atkarība. Šī netiešā informācija atspoguļo agrākās slepenās metodes, piemēram, EtherHiding, un ļāva apdraudējumam maskēties kā likumīga blokķēdes datplūsmaLai gan ļaunprātīgā uzvedība npm kodā bija acīmredzama, saistītie GitHub projekti centās censties izskatīties ticami.
Kā darbojās netiešā darbība ķēdē
Izmeklētāji atklāja, ka colortoolsv2 piegādāja minimālu ielādētāju (tostarp index.js rutīnu), kas vaicāja ķēdes līgums virknes vērtībai, kas apzīmē otrā posma lejupielādes atrašanās vietu. Līgums 0x1f171a1b07c108eae05a5bccbe86922d66227e2b atklāja lasīšanas funkcijas, kas atgrieza URL, kuru ielādētājs pēc tam izmantoja, lai izgūtu vērtumu no uzbrucēja kontrolēta servera.
Pēc tam, kad aptuveni jūlija sākumā npm bloķēja colortoolsv2, operatori ieviesa mimelib2 ar gandrīz tādu pašu loģiku un tieši tādu pašu līguma atsauci, samazinot izmaiņas, vienlaikus saglabājot neskartu vadības kanālu. Otrā posma komponents tika izpildīts pēc izguves, un tā jaucējkodu pētnieki saistīja noteikšanai un tiesu medicīnas triāža.
Koordinēta GitHub ēsma
NPM augšupielādes tika veiktas, izmantojot tīklu maldinošas GitHub krātuves reklamējot automatizētus tirdzniecības rīkus, piemēram, solana-trading-bot-v2, ethereum-mev-bot-v2, arbitrage-bot un hyperliquid-trading-bot. Šo projektu kontu aktivitāšu modeļi bija veidoti tā, lai izskatītos autentiski: uzpūstas zvaigznes un vērotāji, biežas izmaiņas (daži triviāli) un vairāki uzskaitīti uzturētāji.
Analītiķi šo sēšanas centienu saista ar tā saukto Stargazers Ghost tīkls, izplatīšanas kā pakalpojuma klasteris, kas masveidā ģenerē zvaigznes, atzaro, uzrauga un apstiprina, lai uzlabotu kaitīgu repozitoriju redzamību. Daži lietotāju apstrādātāji, kas minēti apstiprināšanas vēsturē, tieši pievienoja ļaunprātīgās atkarības, un vismaz viens saistīts GitHub konts kopš tā laika ir noņemts.
Kāpēc tas izvairījās no ikdienas aizsardzības
Tā kā lejupielādētājs meklēja publisks blokķēde Lai iegūtu norādījumus, standarta filtri un URL bloķēšanas saraksti bija mazāk efektīvi. Daudzi drošības rīki neatzīmē tikai lasāmus līgumu izsaukumus, un uzbrucējs varēja mainīt mitināšanas galapunktus, atjauninot datus ķēdē, nevis pieskaroties pakotnes kodam vai centralizēta infrastruktūraŠī kombinācija paceļ latiņu atklāšanai un likvidēšanai.
Pētnieki atzīmēja, ka līdzīgas idejas jau iepriekš ir parādījušās kriptovalūtu operācijās, taču, izmantojot viedlīgumu, lai C2 posma atrašanās vietas npm ļaunprogrammatūras gadījumā iezīmē ievērojamas pārmaiņas atvērtā pirmkoda ekosistēmu pārbaudē. Dokumentēto ar kriptovalūtu saistītu kampaņu skaits publiskajos repozitorijos 2024. gadā pieauga, reģistrējot vairāk nekā divdesmit gadījumus, un šis incidents parāda, ka metodes nobriest.
Kompromitācijas rādītāji (IoC)
Ar kampaņu tika saistīti šādi identifikatori, kas var palīdzēt draudu medības un atklājumi:
- npm colortoolsv2 versijas: 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (SHA1 1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (SHA1 db86351f938a55756061e9b1f4469ff2699e9e27)
- npm mimelib2 versijas: 1.0.0 (SHA1) bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (SHA1 c5488b605cf3e9e9ef35da407ea848cf0326fdea)
- Otrā posma kravnesība: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
- Gudrais līgums: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b
Izstrādātāja ietekme un ieteicamās pārbaudes
Komandām, kas paļaujas uz npm, šis gadījums uzsver, ka popularitātes signāli var būt ražotsPārbaudiet uzturētāju un izmaiņu vēsturi, izpētiet jaunākos laidienus, lai atklātu neparastu instalēšanas vai pēcinstalēšanas darbību, un rūpīgi pārbaudiet atkarības, kas izpildes laikā veic blokķēdes API izsaukumus vai dinamiskus tīkla pieprasījumus.
Organizācijām vajadzētu apvienoties pakotņu atļauto sarakstu, integritātes piespraušana (tostarp tranzitīvo atkarību heši) un reproducējamas versijas ar statisku un uzvedības analīzi. Tīkla uzraudzība, kas atzīmē negaidītus izejošos izsaukumus uz RPC pakalpojumu sniedzēji Vai pēkšņa datplūsma uz nepazīstamiem domēniem var arī atklāt ķēdes netiešās saites ļaunprātīgu izmantošanu.
Pirms rīku, kas tiek apzīmēti kā tirdzniecības roboti vai MEV palīgi, iekļaušanas pārbaudiet, vai norādītajiem kontiem un repozitorijiem ir reāla pieredze, ne tikai eksplozijas aktivitāte dažu dienu laikā. Lokāli izvelciet pakotnes manuālai pārskatīšanai, skenējiet, vai nav apmulsinātu ielādētāju, un meklējiet kodu, kas nolasa viedās līgumu krātuvi, lai iegūtu izpildāmos URL.
Pētnieki arī iesaka kartēt visas ķēdē esošās atsauces, ko izmanto veidošanas vai izpildlaika skripti, un sekot līdzi atjauninājumiem. līguma stāvoklis kas varētu novirzīt lejupielādes, un dokumentēt IoC iekšēji, lai brīdinājumi saglabātos pat tad, ja publiski saraksti vai konti tiek noņemti.
Kopumā atklājumi izceļ, kā Ethereum viedie līgumi tika pārveidoti par elastīgu C2 informācijas pārraidi, kā npm un GitHub tika ieausti piegādes ceļā un kāpēc. dziļāka iepakojuma higiēna Turklāt ķēdes apzināta uzraudzība tagad ir galvenā prioritāte izstrādātāju komandām, kas strādā ar atvērtā pirmkoda un kriptovalūtu rīkiem.
