ReversingLabs phát hiện chiến dịch tấn công chuỗi cung ứng phần mềm: hai gói npm giả mạo (colortoolsv2 và mimelib2) chứa mã tải xuống độc hại, trong đó kẻ tấn công lưu trữ URL điều khiển trong hợp đồng thông minh Ethereum để che giấu nguồn.
Chiến thuật kết hợp gói npm tối giản, kho GitHub giả mạo và hợp đồng trên blockchain khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn; nhà phát triển cần thận trọng khi tích hợp thư viện mã nguồn mở.
- Kẻ tấn công giấu URL tải mã độc trong hợp đồng thông minh Ethereum để né kiểm duyệt.
- Gói npm minimal (colortoolsv2, mimelib2) kèm kho GitHub được dàn dựng để lừa nhà phát triển.
- Nhà phát triển phải rà soát mã, bảo đảm nguồn gốc và dùng công cụ kiểm tra chuỗi cung ứng trước khi tích hợp.
Tổng quan về chiến dịch
Đây là chiến dịch chuỗi cung ứng phần mềm nơi gói npm chứa mã tải xuống độc hại, kết hợp với hợp đồng Ethereum để che giấu URL máy chủ điều khiển.
Kẻ tấn công phát tán gói tối giản, đồng thời dựng kho GitHub trông chuyên nghiệp để tạo độ tin cậy giả. Việc lưu URL trong blockchain làm tăng độ bền của kênh điều khiển và giảm khả năng phát hiện qua kiểm tra mã nguồn tĩnh.
Gói npm chứa phần mềm độc hại
Hai gói colortoolsv2 và mimelib2 được thiết kế tối giản nhưng âm thầm tải về trình tải xuống mã độc từ một máy chủ điều khiển.
Các gói chỉ chứa phần mã độc, trong khi kho GitHub kèm theo được dàn dựng để trông hợp lệ — nhiều commit, đóng góp và sao nhằm lừa lập trình viên tải về và tích hợp vào dự án.
Hợp đồng Ethereum như công cụ ẩn danh
Kẻ tấn công lưu trữ URL chỉ điểm trong hợp đồng thông minh Ethereum thay vì hardcode trong mã, khiến việc theo dõi và vô hiệu hóa trở nên phức tạp hơn.
Bởi dữ liệu trên blockchain công khai và bất biến, kẻ xấu có thể thay thế hoặc phân phối liên kết điều khiển mà không để lại dấu vết dễ bị quét trong tệp nguồn. Cách làm này làm suy giảm hiệu quả của nhiều phương pháp phát hiện truyền thống.
“Đó là điều chúng tôi chưa từng thấy trước đây, và nó làm nổi bật sự tiến hóa nhanh chóng của chiến lược né tránh phát hiện bởi các tác nhân độc hại nhằm nhắm vào kho mã nguồn mở và nhà phát triển.”
ReversingLabs
GitHub được dùng để làm mồi
Kẻ tấn công dựng các kho GitHub giả mạo (ví dụ solana-trading-bot-v2 và các repo liên quan) với hoạt động, commits và sao giả để tăng độ tin cậy.
Hoạt động và mức độ phổ biến trên GitHub trong nhiều trường hợp bị làm giả, nhằm khiến nhà phát triển tin tưởng và cài đặt gói độc. Chiến dịch còn mở rộng với nhiều repo khác như ethereum-mev-bot-v2, arbitrage-bot, hyperliquid-trading-bot.
Khuyến nghị cho nhà phát triển
Đừng tin hoàn toàn vào số sao, lượt tải hay hoạt động repo; kiểm tra mã nguồn, người duy trì và lịch sử thay đổi trước khi tích hợp thư viện.
Sử dụng kiểm tra an ninh chuỗi cung ứng (SCA), khóa phiên bản phụ thuộc, rà soát package.json, quét tĩnh và động để phát hiện hành vi tải xuống bên ngoài. Thiết lập quy trình phê duyệt thư viện và theo dõi thay đổi của phụ thuộc thường xuyên.
FAQ
Gã tấn công giấu URL như thế nào trong hợp đồng Ethereum?
Họ lưu trữ chuỗi chứa URL trong dữ liệu hợp đồng thông minh trên blockchain, mã trong gói npm truy vấn hợp đồng để lấy URL và tải mã độc từ đó.
Liệu Ethereum có bị “nhiễm” không?
Không phải nền tảng bị nhiễm; đây là sử dụng hợp đồng công khai như kho lưu trữ dữ liệu để che giấu URL điều khiển, tận dụng tính bất biến và công khai của blockchain.
Làm sao biết một gói npm đã bị nhiễm?
Kiểm tra mã nguồn, tìm hành vi tải xuống tại runtime, rà soát file cấu hình và lịch sử commit; dùng công cụ quét SCA và sandbox để phân tích hành vi trước khi cài đặt.
Biện pháp nhanh để bảo vệ dự án?
Khóa phiên bản phụ thuộc, dùng danh sách cho phép, quét tự động, rà soát thủ công mã mới và giới hạn quyền thực thi khi cài gói từ bên thứ 3.
