Cybersecurity -onderzoekers hebben twee nieuwe kwaadaardige pakketten op het NPM -register ontdekt die gebruik maken van slimme contracten voor de Ethereum Blockchain om kwaadaardige acties op gecompromitteerde systemen uit te voeren, wat de trend van dreigingsactoren constant aangeeft op zoek naar nieuwe manieren om malware te distribueren en onder de radar te vliegen.
“De twee NPM -pakketten misbruikten slimme contracten om kwaadaardige opdrachten te verbergen die downloadermalware op gecompromitteerde systemen hebben geïnstalleerd,” zei Reversinglabs -onderzoeker Lucija Valentić in een rapport dat werd gedeeld met het Hacker News.
De pakketten, beide geüpload naar NPM in juli 2025 en niet langer beschikbaar om te downloaden, worden hieronder vermeld –
Het beveiligingsbeveiligingsbedrijf voor software zei dat de bibliotheken deel uitmaken van een grotere en geavanceerde campagne die van invloed is op zowel NPM als GitHub, waardoor nietsvermoedende ontwikkelaars worden misleid om ze te downloaden en te runnen.
Hoewel de pakketten zelf geen moeite doen om hun kwaadaardige functionaliteit te verbergen, merkten Reversinglabs op dat de GitHub -projecten die deze pakketten importeerden pijnen deden om ze geloofwaardig te laten lijken.
Wat betreft de pakketten zelf, het snode gedrag begint zodra een van hen wordt gebruikt of opgenomen in een ander project, waardoor het een payload op de volgende fase haalt en uitvoert van een aanvallergestuurde server.
Hoewel dit par is voor de cursus als het gaat om malware -downloaders, is het gebruik van Smart Contracts van Ethereum Smart Contracts om de URL’s te organiseren die de payload hosten – een techniek die doet denken aan etherhiding. De verschuiving onderstreept de nieuwe tactieken die dreigingsacteurs aannemen om detectie te ontwijken.
Verder onderzoek naar de pakketten heeft aangetoond dat waarnaar wordt verwezen in een netwerk van GitHub-repositories die beweren een Solana-Trading-Bot-V2 te zijn die gebruik maakt van “realtime gegevens op ketens om transacties automatisch uit te voeren, waardoor u tijd en moeite bespaart.” Het GitHub -account dat aan de repository is gekoppeld, is niet langer beschikbaar.
Er wordt beoordeeld dat deze accounts deel uitmaken van een distributie-as-service (DAAS) -aanbieding genaamd Stargazers Ghost Network, dat verwijst naar een cluster van nepgitub-accounts waarvan bekend is dat ze de ster, vork, horloge, commit en abonneren op kwaadaardige repositories om hun populariteit kunstmatig te verbouwen.
Onder die commits zijn broncodewijzigingen om colortoolsv2 te importeren. Sommige van de andere opslagplaatsen die het NPM-pakket hebben betrapt, zijn Ethereum-Mev-Bot-V2, Arbitrage-Bot en HyperLiquid-Trading-Bot.
De naamgeving van deze GitHub -repositories suggereert dat de cryptocurrency -ontwikkelaars en gebruikers het primaire doelwit zijn van de campagne, met behulp van een combinatie van social engineering en bedrog.
“Het is van cruciaal belang voor ontwikkelaars om elke bibliotheek te beoordelen die ze overweegt te implementeren voordat ze besluiten het in hun ontwikkelingscyclus op te nemen,” zei Valentić. “En dat betekent dat het terugtrekken van de covers op zowel open source -pakketten als hun beheerders: verder kijken dan het ruwe aantal onderhouders, commits en downloads om te beoordelen of een bepaald pakket – en de ontwikkelaars erachter – zijn wat ze zelf presenteren.”
