恶意软件利用以太坊智能合约来规避检测

恶意演员已经开发出一种复杂的方法，通过以太坊智能合约分发恶意软件，绕过传统的安全系统。这种网络攻击的演变是由ReversingLabs的网络安全研究人员识别出来的，他们在Node Package Manager (NPM)的仓库中发现了新的开源恶意软件，这是一个庞大的JavaScript包和库集合。

ReversingLabs 的研究员 Lucija Valentić 在最近的一篇文章中指出，名为 "colortoolsv2" 和 "mimelib2" 的恶意软件包利用以太坊的智能合约来隐藏恶意命令。这些软件包于七月发布，作为下载器，从智能合约中检索命令和控制服务器的地址，而不是直接托管恶意链接。这种方法使得检测工作变得复杂，因为区块链的流量看起来是合法的，从而允许恶意软件在受损系统上安装下载软件。

创新规避技术

使用以太坊的智能合约来托管恶意命令的 URL 代表了一种新颖的恶意软件实施技术。Valentić 观察到，这种方法标志着检测规避策略的重大变化，因为恶意行为者越来越多地利用开源代码库和开发者。这种战术在今年早些时候被与朝鲜有关的拉扎鲁斯小组先前采用，但当前的方式显示出攻击向量的快速演变。

精心策划的欺骗活动

恶意软件包属于一个更广泛的欺骗活动，主要通过GitHub进行。恶意行为者创建了虚假的加密货币交易机器人仓库，通过伪造的提交、虚假的用户账户、多个维护者账户以及专业外观的项目描述和文档，使其看起来可信。这一复杂的社会工程策略旨在规避传统的检测方法，将区块链技术与欺骗性实践相结合。

在2024年，安全研究人员记录了与加密货币相关的23起恶意活动，涉及开源代码库。然而，这一最新的攻击向量突显了对代码库攻击的持续演变。除了以太坊，类似的战术还在其他平台上应用，例如一个假冒Solana交易机器人的GitHub代码库，分发恶意软件以窃取加密货币钱包的凭证。此外，黑客还攻击了"Bitcoinlib"，这是一个旨在促进比特币开发的开源Python库，说明了这些网络威胁的多样性和适应性。

加密威胁防护

为了保护您的数字资产免受此类威胁，用户应避免从未验证的来源下载软件，并使用更新的防病毒程序。建议实施强有力的安全措施，如双因素身份验证，并对网络钓鱼尝试保持警惕。为了更高的安全性，请考虑使用硬件钱包，这可以将私钥保存在离线状态，并为此类复杂攻击提供额外的保护层。

这种攻击技术的演变强调了在加密生态系统中保持严格安全实践的重要性，尤其是在与开源代码库互动和下载与加密货币相关的软件时。