Tin tặc giấu phần mềm độc hại qua hợp đồng thông minh Ethereum trong các gói npm

Tin tặc đang sử dụng hợp đồng thông minh Ethereum để ẩn mã độc bên trong các gói npm, làm tăng khó khăn trong việc phát hiện và loại bỏ.

Tóm tắt điều hành

Kẻ tấn công đang tận dụng hợp đồng thông minh Ethereum để che giấu mã độc trong các gói npm, một chiến thuật làm tăng độ phức tạp trong việc phát hiện và loại bỏ. Chiến dịch này, được ReversingLabs phát hiện vào tháng 7 năm 2025, cho thấy sự tinh vi ngày càng tăng của các cuộc tấn công chuỗi cung ứng phần mềm nhắm vào lĩnh vực tiền điện tử và công nghệ tài chính.

Chi tiết sự kiện

Vào tháng 7 năm 2025, các nhà nghiên cứu của ReversingLabs đã phát hiện hai gói độc hại, colortoolsv2 và mimelib2, trên kho lưu trữ gói npm. Các gói này đã sử dụng hợp đồng thông minh Ethereum để che giấu các lệnh độc hại cài đặt phần mềm độc hại tải xuống trên các hệ thống bị xâm nhập. Thay vì nhúng trực tiếp các URL đáng ngờ, phần mềm độc hại đã truy vấn hợp đồng thông minh Ethereum để lấy địa chỉ máy chủ chỉ huy và kiểm soát (C2), một kỹ thuật được gọi là "EtherHiding". Ví dụ, gói colortoolsv2 chứa một tải trọng độc hại, bị xáo trộn trong tập lệnh index.js của nó để tìm nạp và thực thi các lệnh độc hại. Các gói đã được báo cáo cho những người bảo trì npm và sau đó bị xóa.

Tác động thị trường

Tuyến tấn công mới này làm dấy lên mối lo ngại về bảo mật của các kho lưu trữ mã nguồn mở và khả năng bị xâm phạm trên diện rộng. Như nhà nghiên cứu Lucija Valentić của ReversingLabs đã lưu ý, >“Điểm mới và khác biệt là việc sử dụng hợp đồng thông minh Ethereum để lưu trữ các URL chứa lệnh độc hại, tải xuống phần mềm độc hại giai đoạn hai. Chúng tôi chưa từng thấy điều này trước đây, và nó minh họa sự phát triển nhanh chóng của các chiến lược né tránh của các tác nhân độc hại nhắm vào các kho lưu trữ mã nguồn mở và các nhà phát triển.”

Sự cố này có thể dẫn đến việc tăng cường giám sát các gói npm và bảo mật hợp đồng thông minh, có khả năng thúc đẩy việc áp dụng các giao thức bảo mật và thực hành kiểm toán mới.

Bối cảnh rộng hơn

Cuộc tấn công này là một phần của chiến dịch rộng lớn hơn, trong đó các tác nhân đe dọa đã tạo ra các kho lưu trữ giả mạo dưới dạng bot giao dịch tiền điện tử trên GitHub. Các kho lưu trữ này, chẳng hạn như solana-trading-bot-v2, có hàng ngàn cam kết giả mạo và xếp hạng sao thổi phồng để lừa dối các nhà phát triển. Công ty an ninh mạng Kaspersky cũng cảnh báo về các chiến dịch tương tự trên GitHub, nơi tin tặc tạo các dự án gian lận chứa trojan truy cập từ xa (RAT) và phần mềm đánh cắp thông tin được thiết kế để đánh cắp tiền điện tử và thông tin đăng nhập. Các sự cố bảo mật Web3 đã dẫn đến thiệt hại hơn 2,3 tỷ đô la tiền điện tử vào năm 2024, làm nổi bật động lực tài chính ngày càng tăng cho các loại tấn công này. Sự cố này nhấn mạnh sự cần thiết của việc xác thực bảo mật liên tục và các biện pháp bảo mật chủ động trong toàn bộ vòng đời phát triển, thay vì chỉ dựa vào các cuộc kiểm toán phản ứng.