Pesquisadores em cybersecurity descobriram dois novos pacotes maliciosos no registro npm que utilizam smart contracts na blockchain Ethereum para executar ações maliciosas em sistemas comprometidos, indicando a tendência dos threat actors em buscar constantemente novas formas de distribuir malware e evitar a detecção.
“Os dois pacotes npm abusaram dos smart contracts para ocultar comandos maliciosos que instalavam downloader malware nos sistemas comprometidos”, afirmou a pesquisadora da ReversingLabs, Lucija Valentić, em um relatório compartilhado com o site The Hacker News.
Os pacotes, ambos enviados ao npm em julho de 2025 e que não estão mais disponíveis para download, são os seguintes:
- colortoolsv2 (7 downloads)
- mimelib2 (1 download)
A empresa especializada em segurança da cadeia de suprimentos de software afirmou que essas bibliotecas fazem parte de uma campanha maior e sofisticada que impacta tanto o npm quanto o GitHub, enganando desenvolvedores desavisados para baixá-las e executá-las.
Embora os pacotes em si não façam esforço para ocultar sua funcionalidade maliciosa, a ReversingLabs observou que os projetos no GitHub que importavam esses pacotes tomaram cuidado para fazê-los parecer confiáveis.
Quanto aos pacotes, o comportamento malicioso é ativado assim que algum deles é usado ou incluído em outro projeto, fazendo com que ele busque e execute um payload de próxima etapa a partir de um servidor controlado pelo atacante.
Embora isso seja comum para malware do tipo downloader, o que diferencia essa campanha é o uso de smart contracts Ethereum para organizar as URLs que hospedam o payload — uma técnica semelhante à utilizada no EtherHiding.
Essa mudança evidencia as novas táticas adotadas pelos threat actors para evitar a detecção.
Investigações adicionais sobre os pacotes revelaram que eles são referenciados em uma rede de repositórios no GitHub que afirmam ser um solana-trading-bot-v2, que utiliza "dados on-chain em tempo real para executar trades automaticamente, economizando tempo e esforço".
A conta do GitHub associada a esse repositório não está mais disponível.
Avalia-se que essas contas façam parte de uma oferta de distribution-as-a-service (DaaS) chamada Stargazers Ghost Network, que se refere a um cluster de contas falsas no GitHub conhecidas por dar star, fork, watch, commit e subscribe em repositórios maliciosos para inflar artificialmente sua popularidade.
Entre esses commits estão alterações no código-fonte para importar o colortoolsv2.
Outros repositórios flagrados utilizando esse pacote npm incluem ethereum-mev-bot-v2, arbitrage-bot e hyperliquid-trading-bot.
A nomenclatura desses repositórios no GitHub sugere que desenvolvedores e usuários de criptomoedas são o principal alvo da campanha, que utiliza uma combinação de engenharia social e técnicas de dissimulação.
“É fundamental que os desenvolvedores avaliem cuidadosamente cada biblioteca que consideram implementar antes de decidir incluí-la em seu ciclo de desenvolvimento”, destacou Valentić.
Isso significa examinar profundamente tanto os pacotes open source quanto seus mantenedores: ir além dos números brutos de mantenedores, commits e downloads para avaliar se um pacote — e os desenvolvedores por trás dele — são realmente o que aparentam ser.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...