Hacker infiltrieren Ethereum Smart Contracts mit versteckter Malware – DeFi-Sektor in Alarmbereitschaft

Ethereums DeFi-Ökosystem erlebt einen gefährlichen Sicherheitsalarm: Kriminelle haben Smart Contracts mit getarnter Schadsoftware verseucht.

Die Angreifer nutzen komplexe Code-Verschleierungstechniken, um bösartige Routinen in scheinbar legitime Verträge einzubetten. Experten warnen vor interagierenden Wallets – bereits geringe Transaktionen können Vermögensverluste auslösen.

Smart Contract-Sicherheit steht erneut auf dem Prüfstand. Während die Community nach Lösungen sucht, erinnert der Vorfall an die ewige Wahrheit der Krypto-Welt: Die verlockendsten Yield-Farmen locken oft die giftigsten Ungeziefer an.

Bedrohungsakteure verstecken Malware direkt vor den Augen der Öffentlichkeit 

Ethereum Smart trac , die Blockchain-Funktionen automatisieren. In diesem Fall ermöglichten sie Hackern, Schadcode offen zu verbergen. Die Schaddaten wurden mit einer einfachen index.js-Datei versteckt, die bei Ausführung auf die Blockchain zugreift, um die Details des Command-and-Control-Servers (C2) abzurufen.

Laut der Forschung von ReversingLabs sind Downloader-Pakete bei npm nicht Standard und Blockchain-Hosting markiert eine neue Stufe der Umgehungstaktiken.

Die Entdeckung veranlasste die Forscher zu einer umfassenden Suche auf GitHub. Dabei entdeckten sie, dass die npm-Pakete in Repositories eingebettet waren, die sich als Kryptowährungs-Bots ausgaben. Die Bots waren als Solana-Trading-Bot-v2, Hyperliquid-Trading-Bot-v2 und viele mehr getarnt. Die Repositories waren als professionelle Tools getarnt undtracmehrere Commits, Container und Sterne, waren aber in Wirklichkeit frei erfunden. 

Laut der Untersuchung wurden die Konten, die Commits durchführten oder die Repositories forkten, im Juli erstellt und zeigten keinerlei Programmieraktivität. Die meisten Konten hatten eine in ihre Repositories eingebettete README-Datei. Es stellte sich heraus, dass die Commit-Zählungen durch einen automatisierten Prozess künstlich generiert wurden, um die Programmieraktivität zu erhöhen. Beispielsweise handelte es sich bei den meisten protokollierten Commits lediglich um Änderungen an Lizenzdateien und nicht um sinnvolle Updates.  

Pasttimerles, ein von einem Betreuer verwendeter Handle, wurde insbesondere zum Teilen vieler Commits verwendet. Slunfuedrac, ein anderer Handle, war mit der Aufnahme der schädlichen npm-Pakete in die Projektdateien verbunden.

Nach der Erkennung wechselten die Hacker ständig die Abhängigkeiten zu verschiedenen Konten. Nachdem colortoosv2 erkannt wurde, wechselten sie zu mimelibv2 und anschließend zu mw3ha31q und cnaovalles, was zur Commit-Inflation bzw. zur Platzierung bösartiger Abhängigkeiten beitrug. 

Die Untersuchungen von ReversingLabs brachten die Aktivität mit dem Ghost Network von Stargazer in Verbindung, einem koordinierten Kontensystem, das die Glaubwürdigkeit bösartiger Repositories erhöht. Der Angriff zielte auf Entwickler ab, die nach Open-Source-Kryptowährungstools suchen und aufgeblähte GitHub-Statistiken möglicherweise mit legitimen Konten verwechseln.

Die Einbettung von Malware in Ethereum -Blockchain markiert eine neue Phase der Bedrohungserkennung

Der aufgedeckte Angriff folgt einer Reihe von Angriffen auf das Blockchain-Ökosystem. Im März 2025 entdeckte ResearchLabs weitere bösartige npm-Pakete, die legitime Ethers-Pakete mit Code patchten, der Reverse Shells ermöglichte. Es wurden die npm-Pakete Ether-provider2 und ethers-providerZ entdeckt, die bösartigen Code enthielten, der Reverse Shells ermöglichte. 

Mehrere frühere Fälle, darunter die Kompromittierung des Ultralytics-Pakets von PyPI im Dezember 2024, wurden ebenfalls für die Verbreitung von Kryptowährungs-Mining-Malware aufgedeckt. Weiteredentbetrafen die Nutzung vertrauenswürdiger Plattformen wie Google Drive und GitHub Gist, um Schadcode über C2-Server zu maskieren.

Der Studie zufolge wurden im Jahr 2024 23 kryptobezogenedentin der Lieferkette verzeichnet, die von Malware bis hin zu Verstößen gegendentreichten. 

Die neueste Entdeckung greift auf alte Tricks zurück, führt aber den Ethereum -tracals neuen Mechanismus ein. Valentic, der Forscher von Research Labs, sagte, die Entdeckung zeige die schnelle Entwicklung von Strategien zur Umgehung der Erkennung durch böswillige Akteure, die Open-Source-Projekte und -Entwickler austricksen. 

Die Studie unterstreicht, wie wichtig es ist, die Legitimität von Open-Source-Bibliotheken vor deren Einführung zu überprüfen. Valentic warnte, Entwickler müssten jede in Betracht gezogene Bibliothek prüfen, bevor sie sie in ihre Entwicklungsumgebung integrieren. Sie fügte hinzu, es Sei klar, dass Indikatoren wie Sterne, Commits und die Anzahl der Betreuer leicht manipuliert werden könnten.    

Beide dent npm-Pakete, colortoolsv2 und mimelib2, wurden inzwischen aus npm entfernt und die zugehörigen GitHub- Konten geschlossen, aber die Aktivität hat Licht darauf geworfen, wie sich das Ökosystem der Softwarebedrohungen entwickelt.

Erhalten Sie bis zu 30.050 $ an Handelsprämien, wenn Sie noch heute Bybit