Bezpečnostní experti odhalili nový způsob softwarových útoků. Škodlivé balíčky v repozitáři NPM využívaly Ethereum smart kontrakty k načítání skrytých odkazů, které vedly k instalaci dalšího malwaru. Útočníci tím maskovali aktivitu jako běžný blockchainový provoz.
Skryté útoky v NPM balíčcích
Společnost ReversingLabs upozornila na dva balíčky s názvy „colortoolsv2“ a „mimelib2“, které byly nahrány do Node Package Manageru v červenci. Na první pohled šlo o jednoduché nástroje, ve skutečnosti ale dokázaly kontaktovat Ethereum blockchain a z něj získat URL adresy vedoucí k dalším škodlivým souborům.
Crypto Hackers are Now Using Ethereum Smart Contracts to Mask Malware Payloads https://t.co/Ud1pN5r7AU via @coindesk
— Crypto News (@CryptoNewss2p) September 4, 2025
Bullis on @LABtrade_
Podle výzkumnice Lucije Valentić jde o techniku, která dosud nebyla zaznamenána. Útočníci tím ukazují, jak rychle se vyvíjejí jejich metody k obcházení bezpečnostních kontrol. Zatímco dříve se podobné útoky opíraly o služby jako GitHub Gists nebo cloudová úložiště, tentokrát zneužili samotný blockchain.
Širší kampaň a rizika pro vývojáře
Zkoumané balíčky byly propojeny s falešnými repozitáři na GitHubu, které se vydávaly za obchodní kryptoboty. Byly doplněny smyšlenými uživatelskými účty, falešnými commitami i uměle navýšeným počtem hvězdiček. Cílem bylo působit důvěryhodně a nalákat vývojáře ke stažení.
Rizika dodavatelského řetězce v open-source projektech nejsou nová. Jen v loňském roce bylo identifikováno více než dvacet kampaní zaměřených na vývojáře přes NPM nebo PyPI. Tyto útoky se často snažily získat přístup k peněženkám nebo instalovat těžební software. Využití Ethereum smart kontraktů ale ukazuje, že útočníci hledají stále sofistikovanější způsoby, jak se skrýt v běžném provozu a ohrozit vývojářskou komunitu.