Обнаружена масштабная атака на разработчиков через npm с использованием смарт-контрактов Ethereum

Фото автора

CyberSecureFox Editorial Team

Специалисты по кибербезопасности из компаний Checkmarx, Phylum и Socket выявили новую изощренную вредоносную кампанию, нацеленную на разработчиков через репозиторий npm. Злоумышленники применяют комбинацию тайпсквоттинга и смарт-контрактов Ethereum для распространения вредоносного ПО и сокрытия инфраструктуры управления.

Масштаб и механика атаки

Кампания стартовала 31 октября 2024 года, в ходе которой было размещено более 287 вредоносных пакетов в npm. Атакующие использовали тайпсквоттинг — создание пакетов с названиями, похожими на популярные криптовалютные библиотеки, Puppeteer и Bignum.js, чтобы обмануть разработчиков.

Техническая реализация вредоносного кода

Вредоносные пакеты содержат обфусцированный JavaScript-код, который активируется при установке. Код загружает вредоносный бинарный файл с удаленного сервера, который собирает конфиденциальную информацию о системе, включая характеристики GPU, CPU, объем памяти, имя пользователя и версию операционной системы.

Инновационное использование блокчейна

Ключевой особенностью кампании является применение смарт-контрактов Ethereum для получения IP-адресов командных серверов. Используя библиотеку ethers.js, вредоносное ПО взаимодействует с блокчейном для получения актуальных адресов управляющих серверов. Такой подход значительно усложняет блокировку вредоносной инфраструктуры, так как адреса серверов могут динамически обновляться.

Атрибуция и исторические параллели

Socket Threat Research Team обнаружила в коде сообщения об ошибках на русском языке, что может указывать на русскоговорящих злоумышленников. Примечательно, что подобная тактика использования смарт-контрактов для сокрытия вредоносного кода уже применялась в 2023 году в кампании EtherHiding, где использовались контракты Binance Smart Chain.

Данная кампания демонстрирует растущую тенденцию использования блокчейн-технологий в вредоносном ПО, что создает новые вызовы для специалистов по кибербезопасности. Разработчикам рекомендуется тщательно проверять источники устанавливаемых пакетов и использовать инструменты автоматизированного анализа безопасности при работе с npm-зависимостями.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования