Исследователи компании ReversingLabs раскрыли изощрённую кибератаку нового поколения, в которой злоумышленники используют смарт-контракты Ethereum не для финансовых операций, а как скрытый канал управления вредоносным ПО. Этот метод позволяет обходить стандартные системы киберзащиты, делая атаки практически невидимыми для традиционных механизмов обнаружения.
Суть инновации в том, что хакеры не встраивают вредоносные ссылки напрямую в код. Вместо этого они загружают заражённые пакеты в доверенные репозитории, такие как NPM — крупнейшее хранилище JavaScript-библиотек. В июле 2025 года были обнаружены два таких пакета: colortoolsv2 и mimelib2, выглядевшие как обычные утилиты, но на деле представлявшие собой первую стадию сложной атаки.
После установки вредоносное ПО обращается к заранее размещённому смарт-контракту в сети Ethereum, извлекая оттуда динамические URL-адреса управляющих серверов. Эти адреса используются для загрузки второй, более опасной фазы вредоносного кода. Поскольку сама блокчейн-транзакция выглядит легитимной, сетевой трафик не вызывает подозрений у систем анализа, а вредоносная логика остаётся «под радаром».
«Это не просто ещё одна утечка в NPM, — поясняют исследователи. — Это новый уровень кибероружия, где блокчейн становится частью инфраструктуры скрытого управления. Смарт-контракты превращаются в пассивные, но крайне эффективные “перехватчики команд”».
Хотя использование блокчейна в атаках не ново — например, группа Lazarus ранее применяла его для хранения шифровальных ключей — текущий подход уникален: контракты не хранят вредоносный код, а лишь координируют его доставку, что делает их трудноуловимыми и легко заменяемыми.
Атака была частью широкомасштабной кампании социальной инженерии. Злоумышленники создавали поддельные репозитории на GitHub, имитирующие легальные торговые боты для крипторынка. Для правдоподобия они добавляли фальшивые коммиты, заводили аккаунты-наблюдатели и публиковали профессиональную документацию, создавая иллюзию активной разработки.
ReversingLabs отмечает, что подобные атаки становятся нормой: только в 2024 году зафиксировано не менее 23 кампаний, нацеленных на разработчиков в сфере цифровых активов. Причём Ethereum — не единственная мишень. В апреле распространялся поддельный бот для Solana, похищавший приватные ключи, а ранее атаке подверглась Bitcoinlib — популярная Python-библиотека для работы с биткоином.
