Pesquisadores de segurança cibernética da ReversingLabs descobriram dois pacotes maliciosos no registro npm que utilizam contratos inteligentes na blockchain Ethereum para realizar ações maliciosas em sistemas comprometidos. A tática demonstra a constante busca por novas formas de distribuir malware e evitar detecção.
Uso de Contratos Inteligentes
Em entrevista para o site The Hacker News, os pesquisadores informaram que os pacotes colortoolsv2 e mimelib2 foram carregados no npm em julho de 2025 e não estão mais disponíveis para download. Eles fazem parte de uma campanha mais ampla e sofisticada que afeta tanto o npm quanto o GitHub, enganando desenvolvedores para baixar e executar os pacotes.
“Os dois pacotes npm abusaram de contratos inteligentes para ocultar comandos maliciosos que instalavam malware de downloader em sistemas comprometidos”, disse a pesquisadora da ReversingLabs, Lucija Valentić, em um relatório compartilhado com o The Hacker News.
O npm é um registro de pacotes de código aberto para JavaScript. É uma plataforma onde desenvolvedores podem compartilhar e baixar pacotes de código para usar em seus projetos.
Campanha sofisticada
A empresa de segurança da cadeia de suprimentos de software disse que as bibliotecas são parte de uma campanha maior que impacta tanto o npm quanto o GitHub. Os pacotes em si não fazem esforço para ocultar sua funcionalidade maliciosa, mas os projetos GitHub que os importam tentam parecer críveis.
Segundo os pesquisadores, o comportamento malicioso é ativado quando um dos pacotes é usado ou incluído em outro projeto, fazendo com que ele busque e execute um payload de segundo estágio de um servidor controlado pelo atacante. Essa técnica é semelhante à EtherHiding e demonstra a adoção de novas táticas por atores de ameaças.
Embora isso seja normal quando se trata de downloaders de malware, o que o diferencia é o uso de contratos inteligentes da Ethereum para preparar os URLs que hospedam a carga útil – uma técnica que lembra o EtherHiding. A mudança ressalta as novas táticas que os agentes de ameaças estão adotando para evitar a detecção.
Investigação e Descobertas
A investigação revelou que os pacotes são referenciados em uma rede de repositórios GitHub que afirmam ser um solana-trading-bot-v2 que utiliza dados em tempo real para executar trades automaticamente. No entanto, esses repositórios parecem ser parte de uma rede de distribuição de malware.
Os pesquisadores acreditam que esses repositórios fazem parte de uma rede chamada Stargazers Ghost Network, que é um cluster de contas GitHub falsas que estrela, bifurca, assiste, confirma e se inscreve em repositórios maliciosos para inflar artificialmente sua popularidade afim de enganar os desenvolvedores..
Importância da Verificação
Os pesquisadores alertaram para a necessiade dos desenvolvedores avaliarem cada biblioteca antes de incluí-la em seu ciclo de desenvolvimento. Isso inclui olhar além dos números brutos de mantenedores, commits e downloads para avaliar se um pacote é o que afirma ser. Com isso eles poderão se prevenir ataques cibernéticos.

O conteúdo deste artigo está livre de restrições de direitos autorais e de direitos conexos. Sinta-se livre para copiar, modificar, distribuir e executar o trabalho, mesmo para fins comerciais, tudo sem pedir permissão.





