Los piratas informáticos cargantracinteligentes Ethereum con malware oculto

La investigación de ReversingLabs descubrió una campaña de malware que utilizabatracinteligentes Ethereum para ocultar URLs de software malicioso. Los hallazgos revelaron que los hackers utilizaban los paquetes npm colortoolv2 y mimelib2, que actuaban como descargadores. 

Una vez instalados los paquetes npm, obtienen malware de segunda etapa de una infraestructura de comando y control (C2) consultandotracinteligentes Ethereum .

La investigadora de ReversingLabs, Lucija Valentic, describió el ataque como creativo, señalando que no se había visto antes. El enfoque de los atacantes evadió los análisis tradicionales que suelen detectar URL sospechosas dentro de los scripts de los paquetes. 

Los actores de amenazas ocultan malware a simple vista 

Los trac inteligentes Ethereum son programas públicos que automatizan las funciones de la cadena de bloques. En este caso, permitieron a los hackers ocultar código malicioso a simple vista. Las cargas útiles maliciosas se ocultaban con un simple archivo index.js que, al ejecutarse, accedía a la cadena de bloques para recuperar los detalles del servidor de comando y control (C2).

Según la investigación de ReversingLabs , los paquetes de descarga no son estándar en npm, y el alojamiento de blockchain marcó una nueva etapa en las tácticas de evasión.

El descubrimiento impulsó a los investigadores a explorar GitHub a fondo, donde descubrieron que los paquetes npm estaban incrustados en repositorios que se hacían pasar por bots de criptomonedas. Los bots se hacían pasar por Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 y muchos más. Los repositorios se hacían pasar por herramientas profesionales paratracmúltiples confirmaciones, contenedores y estrellas, pero en realidad eran simplemente falsos. 

Según la investigación, las cuentas que realizaron confirmaciones o bifurcaron los repositorios se crearon en julio y no mostraron actividad de programación. La mayoría de las cuentas tenían un archivo README incrustado en sus repositorios. Se descubrió que el número de confirmaciones se generó artificialmente mediante un proceso automatizado para inflar la actividad de programación. Por ejemplo, la mayoría de las confirmaciones registradas eran simplemente cambios en el archivo de licencia, en lugar de actualizaciones significativas.  

Pasttimerles, un nombre de usuario usado por un mantenedor, se usó notablemente para compartir numerosas confirmaciones. Slunfuedrac, otro nombre de usuario, se vinculó con la inclusión de paquetes npm maliciosos en los archivos del proyecto.

Una vez detectados, los hackers siguieron cambiando las dependencias a diferentes cuentas. Tras detectar colortoosv2, cambiaron a mimelibv2 y, posteriormente, a mw3ha31q y cnaovalles, lo que contribuyó a la inflación de confirmaciones y a la colocación de dependencias maliciosas, respectivamente. 

La investigación de ReversingLabs vinculó la actividad con la Red Fantasma de Stargazer, un sistema coordinado de cuentas que aumenta la credibilidad de los repositorios maliciosos. El ataque se dirigió a desarrolladores que buscan herramientas de criptomonedas de código abierto y podrían confundir las estadísticas infladas de GitHub con cuentas legítimas.

La incrustación de malware en la cadena de bloques Ethereum marca una nueva fase en la detección de amenazas

El ataque descubierto surge tras una serie de ataques dirigidos al ecosistema blockchain. En marzo de 2025, ResearchLabs descubrió otros paquetes npm maliciosos que parcheaban paquetes legítimos de Ethers con código que habilitaba shells inversas. Se descubrieron los paquetes npm Ether-provider2 y ethers-providerZ, que contenían código malicioso que habilitaba shells inversas. 

Varios casos anteriores, incluyendo la vulneración del paquete ultralítico de PyPI en diciembre de 2024, también se revelaron por distribuir malware para la minería de criptomonedas. Otrosdentincluyeron plataformas confiables como Google Drive y GitHub Gist, que se utilizaron para enmascarar código malicioso a través de servidores C2.

Según la investigación, en 2024 se registraron 23denten la cadena de suministro relacionados con criptomonedas, desde malware hasta violacionesdent. 

El último descubrimiento emplea viejos trucos, pero introduce el enfoque de lostracde Ethereum como un nuevo mecanismo. Valentic, investigador de Research Labs, afirmó que el descubrimiento destaca la rápida evolución de las estrategias de evasión de la detección por parte de actores maliciosos que atacan proyectos y desarrolladores de código abierto. 

La investigación destacó la importancia de verificar la legitimidad de las bibliotecas de código abierto antes de su adopción. Valentic advirtió que los desarrolladores deben evaluar cada biblioteca que consideren antes de incluirla en su entorno de desarrollo. Añadió que era evidente que indicadores como las estrellas, las confirmaciones y el número de mantenedores pueden manipularse fácilmente.    

Ambos dent , colortoolsv2 y mimelib2, fueron eliminados de npm y las de GitHub fueron cerradas, pero la actividad arrojó luz sobre cómo está evolucionando el ecosistema de amenazas de software.

Cable de diferencia de clave : la herramienta secreta que los proyectos de cifrado utilizan para obtener cobertura de medios garantizada