Novos pacotes maliciosos no npm miram desenvolvedores de criptomoedas com smart contracts em Ethereum

Pesquisadores de segurança cibernética descobriram dois novos pacotes maliciosos no registro npm que utilizam contratos inteligentes da blockchain Ethereum para realizar ações prejudiciais em sistemas comprometidos. A descoberta sinaliza uma tendência de hackers estarem sempre em busca de novas maneiras de distribuir malware e evadir a detecção.

"Os dois pacotes npm abusaram de contratos inteligentes para ocultar comandos maliciosos que instalavam malware do tipo downloader em sistemas comprometidos", afirmou a pesquisadora Lucija Valentić, da ReversingLabs, em um relatório.

Os pacotes, ambos enviados para o npm em julho de 2025 e já indisponíveis para download, são:

• colortoolsv2 (7 downloads)

• mimelib2 (1 download)

A empresa de segurança de cadeia de suprimentos de software explicou que as bibliotecas fazem parte de uma campanha maior e sofisticada, afetando tanto o npm quanto o GitHub, e que tem como objetivo enganar desenvolvedores desavisados para que baixem e executem os códigos.

Enquanto os pacotes em si não se esforçam para esconder sua funcionalidade maliciosa, a ReversingLabs observou que os projetos do GitHub que importavam esses pacotes se esmeravam para parecerem críveis. O comportamento nefasto é ativado assim que um dos pacotes é usado ou incluído em outro projeto, fazendo com que ele busque e execute uma carga útil de próxima etapa a partir de um servidor controlado por um invasor.

O que diferencia essa técnica é o uso de contratos inteligentes Ethereum para hospedar as URLs que contêm a carga útil — uma tática que lembra a EtherHiding. Essa mudança destaca as novas estratégias que os grupos hackers estão adotando para evadir a detecção.

Uma investigação mais aprofundada revelou que os pacotes são mencionados em uma rede de repositórios do GitHub que se autodenominam "solana-trading-bot-v2", prometendo "dados em tempo real para executar negociações automaticamente, economizando seu tempo e esforço". A conta do GitHub associada a este repositório não está mais disponível.

Acredita-se que essas contas fazem parte de uma oferta de distribuição como serviço (DaaS) chamada Stargazers Ghost Network, um aglomerado de contas falsas do GitHub que são conhecidas por marcar com estrela, fazer forks, monitorar, realizar commits e assinar repositórios maliciosos para inflar artificialmente sua popularidade.

Entre os commits encontrados estão as alterações de código-fonte para importar o colortoolsv2. Alguns dos outros repositórios capturados empurrando o pacote npm são ethereum-mev-bot-v2, arbitrage-bot e hyperliquid-trading-bot.

O nome desses repositórios do GitHub sugere que os desenvolvedores e usuários de criptomoedas são o principal alvo da campanha, que usa uma combinação de engenharia social e engano. A pesquisadora Valentić enfatiza a importância de que os desenvolvedores avaliem cada biblioteca antes de implementá-la em seus projetos. "Isso significa examinar tanto os pacotes de código aberto quanto seus mantenedores: olhar além dos números brutos de mantenedores, commits e downloads para avaliar se um determinado pacote — e os desenvolvedores por trás dele — são o que se apresentam", concluiu.

Via - THN