- Dua paket npm, 'colortoolsv2' dan 'mimelib2', mengarahkan C2 melalui kontrak pintar Ethereum untuk menghindari deteksi.
- Repo bot perdagangan GitHub palsu meningkatkan kepercayaan dengan komitmen dan akun yang dibuat-buat sebelum menambahkan ketergantungan yang berbahaya.
- Kontrak on-chain yang sama (0x1f171a1b07c108eae05a5bccbe86922d66227e2b) menyediakan URL tahap kedua.
- IoC mencakup versi paket spesifik dan hash SHA1; tim harus memantau panggilan blockchain yang tidak terduga dalam skrip instalasi.
ReversingLabs telah menandai dua paket npm yang secara diam-diam merutekan logika instalasi melalui kontrak pintar Ethereum, mengubah blockchain publik menjadi direktori rahasia untuk infrastruktur perintah dan kontrol (C2). Paket-paket tersebut, 'colortoolsv2' dan 'mimelib2', berperan sebagai utilitas sederhana sekaligus memungkinkan pengambilan muatan tahap kedua.
Dengan melakukan outsourcing alamat C2 ke kontrak on-chain, operator membungkus lalu lintas mereka dalam apa yang tampak seperti aktivitas blockchain biasa, sebuah langkah yang mempersulit deteksi statis dan berbasis reputasiKontrak di 0x1f171a1b07c108eae05a5bccbe86922d66227e2b memperlihatkan fungsi baca yang mengembalikan URL yang nantinya akan dihubungi oleh penginstal.
Dari pemuat npm ke C2 on-chain
Di dalam 'colortoolsv2', sebuah pemuat index.js memanggil perintah eksternal yang lokasinya tidak dikodekan secara lokal. Sebagai gantinya, ia meminta kontrak pintar Ethereum untuk titik akhir yang akan mengarahkan host ke perintah dan kontrol.
Penjelajah umum seperti Etherscan menunjukkan kontraknya Mengekspos fungsi baca sederhana yang mengembalikan URL, secara efektif menggunakan rantai tersebut sebagai penunjuk tangguh ke infrastruktur penyerang. Karena hop terakhir berasal dari panggilan blockchain, para pembela tidak melihat domain statis yang tertanam dalam paket npm.
Setelah penemuannya, 'colortoolsv2' adalah diblokir di npm pada 7 JuliTak lama kemudian, operator menerbitkan 'mimelib2', yang menggunakan kembali logika yang hampir identik dan kontrak pintar yang sama untuk menghadirkan tahap kedua, menurut analisis tersebut.
Setelah dieksekusi, loader mengambil komponen tahap kedua yang hashnya dipublikasikan oleh para peneliti (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21). Ketidaklangsungan ini memungkinkan penyerang untuk merotasi tujuan sesuka hati dengan mengedit data on-chain, alih-alih mengemas ulang kode.
Sebuah permainan kredibilitas GitHub untuk menutupi dependensi berbahaya
ReversingLabs juga menelusuri jaringan proyek GitHub palsu yang disajikan sebagai bot perdagangan crypto, lengkap dengan ribuan komitmen, banyak pengelola, bintang, dan pengamat. Repositori seperti 'solana-trading-bot-v2' tampak ramai, tetapi sebagian besar aktivitasnya merupakan kekacauan otomatis.
Banyak komit yang mengaduk file-file sepele (misalnya, suntingan LICENSE berulang), sementara cluster akun serupa dibuat sekitar 10 Juli Hampir tidak berisi konten asli—beberapa berkas README hanya bertuliskan "Halo". Nama pengguna seperti "slunfuedrac", "cnaovalles", dan "pasttimerles" sering muncul, meningkatkan sinyal legitimasi.
Perbedaan kode menunjukkan ketergantungan berbahaya yang ditambahkan ke kode bot perdagangan (misalnya, di bot.ts dan impor di src/index.ts), pertama melalui 'colortoolsv2' dan kemudian melalui 'mimelib2'. Hubungan tersebut menjadi jauh kurang jelas bagi seorang pengulas biasa di tengah riwayat komitmen yang ramai.
Dengan menyemai npm dan GitHub bersama-sama, para aktor sinyal kepercayaan tradisional yang kabur, menjadikan ketergantungan tersembunyi menyatu ke dalam proyek yang tampak aktif, terawat baik, dan didukung komunitas.
IoC, cakupan, dan apa yang harus diperhatikan oleh para pembela HAM
ReversingLabs menerbitkan yang berikut ini indikator kompromi (IoC) terkait dengan kampanye ini:
- paket npm: colortoolsv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27)
- paket npm: mimelib2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea)
- Tahap kedua: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
- Kontrak pintar: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b
Pendekatan ini menggemakan penyalahgunaan hosting tepercaya sebelumnya seperti Gists atau penyimpanan cloud, tetapi perubahan on-chain melemahkan daftar blokir statis dan pemeriksaan sumber yang sederhana. Lokasi C2 dapat diubah dalam kontrak tanpa perlu mengubah paket, dan lalu lintas blockchain dapat disalahartikan sebagai rutinitas di lingkungan yang berdekatan dengan kripto.
Langkah-langkah praktis termasuk meninjau asal-usul ketergantungan di luar bintang dan komitmen, memantau panggilan RPC blockchain yang tidak terduga Selama fase instalasi/pembuatan, validasi semua URL yang diselesaikan oleh runtime, dan amankan versi yang diketahui baik dengan pemeriksaan integritas. Tim keamanan juga harus mencari repositori yang aktivitasnya meningkat secara artifisial karena komitmen otomatis yang sepele.
Kasus ini menunjukkan bagaimana Kontrak pintar Ethereum dapat digunakan kembali sebagai petunjuk tangguh untuk distribusi malware dalam ekosistem npm, sementara aktivitas GitHub yang bertahap menyembunyikan dependensi berbahaya di tempat yang terlihat jelas; kesadaran akan tumpang tindih antara infrastruktur sumber terbuka dan infrastruktur on-chain sekarang penting bagi pertahanan pengembang dan perusahaan.
