芝麻开门(Gateio)
注册芝麻开门享最高$2,800好礼。
币安(Binance)
币安是世界领先的数字货币交易平台,注册领100U。
软件安全公司ReversingLabs发现两个利用以太坊智能合约下载恶意软件的开源代码包。这属于恶意行为者通过污染区块链相关公共代码库实施黑客攻击的”精密行动”的一部分——币安此前曾将此类攻击手段与朝鲜黑客关联。
这两个名为colortoolsv2和mimelib2的Node包管理器(NPM)库具有高度相似性:均包含两个文件,其中一个文件会运行脚本,通过以太坊智能合约下载恶意软件攻击的第二阶段程序。NPM包是开发者常用的可复用开源代码集合。
ReversingLabs软件威胁研究员Lucija Valentić指出,智能合约的这种应用方式”是我们前所未见的”。
️ 最新RL威胁研究:2个恶意#npm包滥用#以太坊智能合约在受感染设备加载#恶意软件。https://t.co/wzDRKfm2yh
— ReversingLabs (@ReversingLabs) 2025年9月3日
“用于获取最终阶段恶意软件的’下载器’几乎每天都会被发布到npm仓库,”她表示,”创新之处在于攻击者使用以太坊智能合约托管包含恶意命令的URL,以下载第二阶段恶意软件。”
这两个软件包只是冰山一角,ReversingLabs在GitHub上发现了更大规模的污染包活动。该安全公司发现了一个与上述恶意包colortoolsv2相关联的GitHub仓库网络,其中大部分被伪装成加密交易机器人或代币狙击工具。
“尽管NPM包本身并不复杂,但攻击者花费了大量精力使托管恶意包的仓库看起来可信,”Valentić说道。
她在报告中解释称,部分仓库拥有数千次提交、大量星标和若干贡献者,这些表象可能促使开发者信任该仓库。但ReversingLabs认为这些活动大多由攻击者伪造。
“这种做法尤其危险,因为程序员在使用公共维护的代码库时不会意识到潜在风险,”Bubblemaps匿名链上侦探0xToolman告诉Decrypt,”人们可能认为开源等于公共监督等于安全,或者单纯因为无法逐行检查非自己编写的代码——这实在太耗时了。”
币安将NPM投毒事件与朝鲜关联
主要中心化交易所币安上月向Decrypt透露,其已意识到此类攻击并因此强制员工细致审查NPM库。
币安首席安全官Jimmy Su解释称,软件包投毒正成为朝鲜黑客日益猖獗的攻击载体,他将此列为对加密公司的最大威胁。
“目前加密行业面临的最大威胁来自国家行为体,特别是朝鲜的Lazarus组织,”Su在八月接受Decrypt 采访时表示,”他们在过去两三年专注于加密领域,并取得了相当成功的成果。”
Chainalysis报告显示,2024年61%的加密资产失窃案(总计13亿美元)被认为由朝鲜黑客所为。此后FBI将朝鲜攻击者与Bybit 14亿美元黑客事件相关联,这是有史以来最大的加密黑客攻击事件。
虽然Su提到的主要攻击载体是假冒员工,但NPM包投毒与虚假面试骗局并列第二。为此,各大加密交易所通过Telegram和Signal群组共享情报以标记污染代码库。
“我们主要在前线联盟中,当发生黑客事件或需要事件响应时,第一响应者会在群组中与Coinbase、Kraken等交易所保持协同,”Su解释道,”我们与这些交易所结盟已有数年。如今正在组建更正式的组织,但就前线作战而言,我们已实践多年。”
每日简报通讯
© 版权声明
文章版权归作者所有,未经允许请勿转载。
