以太坊智能合約：惡意軟件分發的新隱祕渠道

網路安全研究人員發現了一種令人擔憂的趨勢，威脅行爲者正在以太坊區塊鏈智能合約中嵌入惡意命令，這給安全監控系統帶來了重大挑戰。

安全專家已確定，這些技術允許攻擊者在看似合法的區塊鏈交易中僞裝其操作，顯著增加傳統安全解決方案的檢測難度。

新興的先進區塊鏈攻擊向量

數字資產合規公司ReversingLabs發現了在七月發布到Node Package Manager (NPM)庫中的兩個惡意軟件包，它們利用了這種復雜的技術。

這兩個名爲 "colortoolsv2" 和 "mimelib2" 的軟件包在初步檢查時看似無害，但實際上包含了旨在從以太坊智能合約中提取命令指令的混淆代碼。這些軟件包並沒有直接嵌入惡意負載 URL，而是作爲第一階段的下載工具，從區塊鏈交易中檢索命令與控制服務器地址，然後再部署二級惡意軟件。

"此次攻擊的特別值得注意之處在於惡意命令 URL 在以太坊智能合約中的戰略性托管，" ReversingLabs 的安全研究員 Lucija Valentić 解釋道。"這代表了我們之前在現實中未曾觀察到的技術演變，" 她補充道，強調了威脅行爲者迅速適應以規避安全檢測機制。

通過假交易應用程序進行復雜的社會工程

這些發現的包僅代表一個更廣泛的欺騙活動的組成部分，該活動主要通過GitHub倉庫進行策劃。威脅行爲者構建了復雜的加密貨幣交易機器人倉庫，細致入微地關注真實性——配有僞造的提交歷史、多個虛假的維護者個人資料，以及旨在與潛在受害者建立可信度的全面文檔。

這些倉庫經過精心設計，看起來合法可信，隱藏了其通過復雜的社交工程策略進行惡意軟件分發的實際目的。

安全監控記錄了2024年針對開源代碼庫的23個不同的以加密貨幣爲重點的惡意攻擊活動。安全專業人士表示，這種新方法——將基於區塊鏈的命令執行與高級社會工程相結合——顯著提高了防御安全操作的復雜性。

加密貨幣針對性攻擊的歷史背景

在威脅環境中，利用以太坊基礎設施並不是前所未有的。今年早些時候，安全研究人員將與朝鮮相關的拉扎魯斯集團與惡意軟件操作聯繫在一起，這些操作也利用了以太坊智能合約的交互，盡管其技術實現細節有所不同。

在四月，網路犯罪分子分發了一個僞裝成Solana交易機器人應用的欺詐性GitHub倉庫，利用這個渠道投放惡意軟件，旨在竊取加密貨幣錢包憑證。

另一個重要事件涉及 "Bitcoinlib" Python 包，這是一個用於比特幣應用的開發庫，威脅行爲者針對其進行類似的憑證盜竊操作。

盡管具體的技術實現持續演變，但模式是顯而易見的：加密貨幣開發工具和開源代碼庫正日益成爲復雜攻擊活動的主要目標。將像智能合約這樣的區塊鏈特性作爲指揮基礎設施的整合顯著增加了檢測和緩解工作的復雜性。

正如Valentić所觀察到的，威脅行爲者不斷探索創新的方法來規避安全控制。在以太坊智能合約上戰略性部署惡意命令基礎設施，展示了現代攻擊者爲了保持對安全防御的操作優勢所採用的技術復雜性。