Исследователи из компании ReversingLabs обнаружили новую схему распространения вредоносного программного обеспечения, в которой смартконтракты Ethereum используются для скрытой доставки команд и ссылок, что значительно усложняет обнаружение атак современными антивирусными системами.
Об этом сообщает Бизнес • Медиа
Новая волна кибератак через NPM и блокчейн
В июле 2025 года на платформе NPM, крупнейшем хранилище JavaScript-библиотек, были опубликованы два вредоносных пакета — colortoolsv2 и mimelib2. Программы не содержали привычных для подобного ПО адресов командных серверов, а получали управляющие указания непосредственно через смартконтракты Ethereum. Такой подход позволял хакерам обходить стандартные средства защиты, поскольку сетевой трафик выглядел вполне легитимно.
После установки вредоносные пакеты подключались к блокчейну, откуда получали адреса для загрузки следующей фазы атаки. Благодаря этому механизму смартконтракты становились инструментом скрытия настоящих URL-адресов, усложняя автоматическое обнаружение угрозы.
«Такой метод позволяет обходить сканирование и усложняет обнаружение угроз».
Социальная инженерия и поддельные репозитории
Упомянутые в ReversingLabs вредоносные пакеты были частью масштабной кампании социальной инженерии. Злоумышленники создавали фальшивые репозитории на GitHub, представляя их как торговых ботов для криптоактивов. Для создания иллюзии реальной деятельности добавляли поддельные коммиты, использовали несколько аккаунтов-наблюдателей и оформляли документацию на профессиональном уровне.
Исследователи подчеркивают, что использование блокчейна в киберпреступлениях не является новым явлением — похожие тактики применялись и ранее, в частности группой Lazarus. Однако в данном случае смартконтракты Ethereum использовались именно для скрытия команд, а не для хранения файлов, что стало новым этапом в развитии способов обхода защиты.
В 2024 году было зафиксировано как минимум 23 подобных кампании, связанных с цифровыми активами. При этом хакеры атакуют не только экосистему Ethereum. В апреле был обнаружен фейковый торговый бот для Solana, который похищал криптоактивы пользователей, а еще ранее атаки были направлены на библиотеку Bitcoinlib для Python.
Специалисты считают, что сочетание блокчейн-технологий с социальной инженерией становится все более популярным в среде киберпреступников. Такие инструменты позволяют им эффективно обходить традиционные системы защиты, создавая серьезные риски для разработчиков и пользователей открытого программного обеспечения.
Напомним, в августе 2025 года общие убытки индустрии от хакерских атак превысили $163 млн.