По информации экспертов ReversingLabs, были обнаружены вредоносные пакеты в репозитории NPM, которые используют смарт-контракты Ethereum для сокрытия команд и загрузки вредоносного программного обеспечения.
Аналитики отметили, что 2 пакета colortoolsv2 и mimelib2, которые злоумышленники опубликовали в июле, работали как простые загрузчики. Они запрашивали адреса управляющих серверов из смарт-контрактов вместо прямых вредоносных ссылок.
После установки эти пакеты обращались к блокчейну для получения URL-адреса для загрузки вредоноса второго этапа. Это усложняет обнаружение, так как трафик блокчейна выглядит легитимным.
В ReversingLabs подчеркнули, что в этих атаках новым является использование смарт-контрактов для размещения URL-адресов.
