I contratti intelligenti di Ethereum diffondono silenziosamente malware javascript prendendo di mira gli sviluppatori

Gli hacker stanno utilizzando smart contract su Ethereum per nascondere payload di malware all'interno di pacchetti npm apparentemente innocui, una tattica che trasforma la blockchain in un canale di comando resiliente e complica le operazioni di rimozione.

ReversingLabs ha dettagliato due pacchetti npm, colortoolsv2 e mimelib2, che leggono un contratto su Ethereum per recuperare un URL per un downloader di seconda fase invece di codificare direttamente l'infrastruttura nel pacchetto stesso, una scelta che riduce gli indicatori statici e lascia meno tracce nelle revisioni del codice sorgente.

I pacchetti sono emersi a luglio e sono stati rimossi dopo la divulgazione. ReversingLabs ha rintracciato la loro promozione a una rete di repository su GitHub che si spacciavano per trading bot, incluso solana-trading-bot-v2, con stelle false, storici di commit gonfiati e manutentori fittizi, uno strato sociale che indirizzava gli sviluppatori verso la catena di dipendenze malevole.

I download sono stati pochi, ma il metodo è rilevante. Secondo The Hacker News, colortoolsv2 ha registrato sette download e mimelib2 uno, che comunque si adatta a un targeting opportunistico degli sviluppatori. Snyk e OSV ora elencano entrambi i pacchetti come malevoli, offrendo controlli rapidi per i team che auditano build storiche.

La storia si ripete

Il canale di comando on-chain richiama una campagna più ampia che i ricercatori hanno monitorato alla fine del 2024 su centinaia di typosquat npm. In quella ondata, i pacchetti eseguivano script di installazione o preinstallazione che interrogavano un contratto Ethereum, recuperavano un URL di base e poi scaricavano payload specifici per sistema operativo chiamati node-win.exe, node-linux o node-macos.

Checkmarx ha documentato un contratto principale a 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b abbinato a un parametro wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, con infrastruttura osservata a 45.125.67.172:1337 e 193.233.201.21:3001, tra gli altri.

La deoffuscazione di Phylum mostra la chiamata ethers.js a getString(address) sullo stesso contratto e registra la rotazione degli indirizzi C2 nel tempo, un comportamento che trasforma lo stato del contratto in un puntatore mobile per il recupero del malware. Socket ha mappato indipendentemente l'ondata di typosquat e pubblicato IOC corrispondenti, incluso lo stesso contratto e wallet, confermando la coerenza tra le fonti.

Una vecchia vulnerabilità continua a prosperare

ReversingLabs inquadra i pacchetti del 2025 come una continuazione della tecnica piuttosto che della scala, con la particolarità che lo smart contract ospita l'URL per la fase successiva, non il payload.

Il lavoro di distribuzione su GitHub, inclusi finti stargazer e commit di routine, mira a superare una due diligence superficiale e sfruttare aggiornamenti automatici delle dipendenze all'interno dei cloni dei repository falsi.

Il design ricorda l'uso precedente di piattaforme di terze parti per l'indirezione, ad esempio GitHub Gist o cloud storage, ma l'archiviazione on-chain aggiunge immutabilità, leggibilità pubblica e una sede neutrale che i difensori non possono facilmente mettere offline.

Secondo ReversingLabs, gli IOC concreti da questi report includono i contratti Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b collegati ai pacchetti di luglio e il contratto 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, pattern host 45.125.67.172 e 193.233.201.21 con porta 1337 o 3001, e i nomi dei payload di piattaforma sopra menzionati.

Gli hash per la seconda fase del 2025 includono 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, e per l'ondata del 2024, Checkmarx elenca valori SHA-256 per Windows, Linux e macOS. ReversingLabs ha anche pubblicato SHA-1 per ogni versione npm malevola, il che aiuta i team a scansionare gli artifact store per esposizioni passate.

Proteggersi dall'attacco

Per la difesa, il controllo immediato è impedire l'esecuzione di script di ciclo di vita durante l'installazione e la CI. npm documenta il flag --ignore-scripts per npm ci e npm install, e i team possono impostarlo globalmente in .npmrc, quindi consentire selettivamente le build necessarie con un passaggio separato.

La pagina delle best practice di sicurezza di Node.js consiglia lo stesso approccio, insieme al pinning delle versioni tramite lockfile e a una revisione più rigorosa di manutentori e metadati.

Bloccare il traffico in uscita verso gli IOC sopra indicati e allertare sui log di build che inizializzano ethers.js per interrogare getString(address) fornisce rilevamenti pratici che si allineano con il design C2 basato su blockchain.

I pacchetti sono spariti, il pattern rimane, e l'indirezione on-chain ora si affianca a typosquat e repository falsi come metodo ripetibile per raggiungere le macchine degli sviluppatori.

L'articolo Ethereum smart contracts quietly push javascript malware targeting developers è apparso per la prima volta su CryptoSlate.