A empresa de segurança ReversingLabs identificou dois pacotes de software JavaScript open-source que estavam sendo usados em ataques via Ethereum. As bibliotecas, chamadas colortoolsv2 e mimelib2, eram quase idênticas: cada uma tinha dois arquivos, sendo que um deles executava um script capaz de baixar a segunda fase do malware por meio de um smart contract (contrato inteligente) do Ethereum.
Lucija Valentić, pesquisadora de ameaças de software da ReversingLabs, destacou que o uso de smart contracts para malware nesse contexto era “algo que não havíamos visto anteriormente”.
New RL threat research: 2 malicious #npm packages abuse #Ethereum smart contracts to load #malware on compromised devices. https://t.co/wzDRKfm2yh
— ReversingLabs (@ReversingLabs) September 3, 2025
“‘Downloaders’ que recuperam malware em estágio avançado estão sendo publicados no repositório NPM semanalmente — se não diariamente”, disse ela. “O que é novo e diferente é o uso de smart contracts do Ethereum para hospedar as URLs onde os comandos maliciosos estão localizados, permitindo o download do malware de segunda fase.”
Esses dois pacotes eram apenas a ponta do iceberg. A ReversingLabs descobriu uma campanha maior de pacotes contaminados espalhados pelo GitHub. A empresa de segurança identificou uma rede de repositórios conectados ao pacote malicioso colortoolsv2. A maior parte dela estava disfarçada como bots de negociação de criptomoedas ou ferramentas de sniping de tokens – de captura rápida de tokens.
“Embora o pacote NPM não fosse muito sofisticado, houve muito mais trabalho para fazer com que os repositórios que continham o pacote malicioso parecessem confiáveis”, disse Valentić.
Ela explicou no relatório que alguns repositórios tinham milhares de commits (alterações), um bom número de estrelas e alguns colaboradores, o que poderia levar um desenvolvedor a confiar neles. Mas a ReversingLabs acredita que a maior parte dessa atividade foi falsificada pelos invasores.
“É especialmente perigoso porque os programadores não imaginariam que seria um problema ao usar bases de código mantidas publicamente”, disse 0xToolman, um detetive on-chain pseudônimo da Bubblemaps, ao Decrypt . “Pode ser a suposição de que código aberto é igual a monitoramento público, igual a segurança. Pode ser simplesmente que alguém não consiga verificar todo o código que está usando, já que não foi ele quem o escreveu, e levaria muito tempo para fazer isso.”
Binance vincula malware a hackers norte-coreanos
No mês passado, a Binance disse ao Decrypt que estava ciente de tais ataques e, como resultado, obriga os funcionários a analisarem as bibliotecas do NPM com cuidado.
O diretor de segurança, Jimmy Su, explicou que o envenenamento de pacotes é um vetor crescente de ataque para hackers norte-coreanos, que ele identificou como a maior ameaça às empresas de criptomoedas.
“O maior vetor atualmente contra a indústria de criptomoedas são os agentes estatais, particularmente na RPDC, [com] o Lazarus”, disse Su. “Eles têm se concentrado em criptomoedas nos últimos dois ou três anos e têm tido bastante sucesso em seus esforços.”
Acredita-se que hackers norte-coreanos tenham sido responsáveis por 61% de todas as criptomoedas roubadas em 2024, revelou um relatório da Chainalysis, totalizando US$ 1,3 bilhão. Desde então, o FBI atribuiu aos invasores norte-coreanos o roubo de US$ 1,4 bilhão na Bybit, o maior roubo de criptomoedas de todos os tempos.
Embora o principal vetor de ataque identificado por Su seja por meio de funcionários falsos, o envenenamento de pacotes NPM ocupa a segunda posição, ao lado de golpes de entrevistas falsas. Por isso, as principais exchanges de criptomoedas compartilham informações em grupos do Telegram e Signal, para alertar sobre bibliotecas contaminadas.
“Estamos principalmente nessa aliança na linha de frente, então, para os primeiros a responder, quando há hacks ou precisamos de resposta a incidentes, estamos sempre nesse grupo, junto com outras exchanges, como Coinbase e Kraken”, explicou Su. Ele acrescentou:
“Estamos em aliança com essas exchanges há anos. Existem alianças mais formais sendo formadas hoje, mas, no que diz respeito à operação na linha de frente, fazemos isso há anos.”
* Traduzido e editado com autorização do Decrypt
O Bitcoin mostra muita força no 2º trimestre e é destaque entre os ativos de risco. Será que uma próxima máxima história de preço vem aí? Agora é hora de agir estrategicamente. Abra sua conta no MB e prepare sua carteira!
O post Hackers exploram contratos inteligentes no Ethereum para distribuir vírus apareceu primeiro em Portal do Bitcoin.
Deixe um comentário