以太坊智能合约：恶意软件分发的新隐秘渠道

网络安全研究人员发现了一种令人担忧的趋势，威胁行为者正在以太坊区块链智能合约中嵌入恶意命令，这给安全监控系统带来了重大挑战。

安全专家已确定，这些技术允许攻击者在看似合法的区块链交易中伪装其操作，显著增加传统安全解决方案的检测难度。

新兴的先进区块链攻击向量

数字资产合规公司ReversingLabs发现了在七月发布到Node Package Manager (NPM)库中的两个恶意软件包，它们利用了这种复杂的技术。

这两个名为 "colortoolsv2" 和 "mimelib2" 的软件包在初步检查时看似无害，但实际上包含了旨在从以太坊智能合约中提取命令指令的混淆代码。这些软件包并没有直接嵌入恶意负载 URL，而是作为第一阶段的下载工具，从区块链交易中检索命令与控制服务器地址，然后再部署二级恶意软件。

"此次攻击的特别值得注意之处在于恶意命令 URL 在以太坊智能合约中的战略性托管，" ReversingLabs 的安全研究员 Lucija Valentić 解释道。"这代表了我们之前在现实中未曾观察到的技术演变，" 她补充道，强调了威胁行为者迅速适应以规避安全检测机制。

通过假交易应用程序进行复杂的社会工程

这些发现的包仅代表一个更广泛的欺骗活动的组成部分，该活动主要通过GitHub仓库进行策划。威胁行为者构建了复杂的加密货币交易机器人仓库，细致入微地关注真实性——配有伪造的提交历史、多个虚假的维护者个人资料，以及旨在与潜在受害者建立可信度的全面文档。

这些仓库经过精心设计，看起来合法可信，隐藏了其通过复杂的社交工程策略进行恶意软件分发的实际目的。

安全监控记录了2024年针对开源代码库的23个不同的以加密货币为重点的恶意攻击活动。安全专业人士表示，这种新方法——将基于区块链的命令执行与高级社会工程相结合——显著提高了防御安全操作的复杂性。

加密货币针对性攻击的历史背景

在威胁环境中，利用以太坊基础设施并不是前所未有的。今年早些时候，安全研究人员将与朝鲜相关的拉扎鲁斯集团与恶意软件操作联系在一起，这些操作也利用了以太坊智能合约的交互，尽管其技术实现细节有所不同。

在四月，网络犯罪分子分发了一个伪装成Solana交易机器人应用的欺诈性GitHub仓库，利用这个渠道投放恶意软件，旨在窃取加密货币钱包凭证。

另一个重要事件涉及 "Bitcoinlib" Python 包，这是一个用于比特币应用的开发库，威胁行为者针对其进行类似的凭证盗窃操作。

尽管具体的技术实现持续演变，但模式是显而易见的：加密货币开发工具和开源代码库正日益成为复杂攻击活动的主要目标。将像智能合约这样的区块链特性作为指挥基础设施的整合显著增加了检测和缓解工作的复杂性。

正如Valentić所观察到的，威胁行为者不断探索创新的方法来规避安全控制。在以太坊智能合约上战略性部署恶意命令基础设施，展示了现代攻击者为了保持对安全防御的操作优势所采用的技术复杂性。