Hackers carregam contratos inteligentes Ethereum com malware oculto - e a caça está aberta

Os caçadores de vulnerabilidades estão em alerta máximo após a descoberta de contratos inteligentes Ethereum infectados com código malicioso.

Como funciona a armadilha

Os invasores embutem instruções ocultas em contratos aparentemente legítimos - quando executados, os códigos drenam carteiras desprevenidas sem deixar rastros evidentes.

A corrida pela segurança

Desenvolvedores correm para atualizar ferramentas de auditoria enquanto exchanges reforçam protocolos de verificação. A caça aos contratos comprometidos já levou à identificação de múltiplos endereços maliciosos.

O mercado reage com nervosismo típico: preços oscilam enquanto os grandes players aproveitam para comprar na baixa - porque até o medo alheio vira oportunidade de lucro no mundo cripto.

Os agentes de ameaças escondem malware à vista de todos 

trac inteligentes Ethereum à vista de todos. Os payloads maliciosos eram ocultados com um simples arquivo index.js que, quando executado, acessava o blockchain para recuperar os detalhes do servidor de comando e controle (C2).

De acordo com a pesquisa da ReversingLabs , os pacotes de download não são padrão no npm, e a hospedagem de blockchain marcou um novo estágio nas táticas de evasão.

A descoberta levou os pesquisadores a realizar uma ampla varredura no GitHub, onde descobriram que os pacotes npm estavam incorporados em repositórios que se passavam por bots de criptomoedas. Os bots estavam disfarçados de Solana-trading-bot-v2, Hyperliquid-trading-bot-v2 e muitos outros. Os repositórios estavam disfarçados de ferramentas profissionais,tracmúltiplos commits, contêineres e estrelas, mas, na realidade, eram apenas fabricados. 

De acordo com a pesquisa, as contas que realizaram commits ou bifurcaram os repositórios foram criadas em julho e não apresentaram nenhuma atividade de codificação. A maioria das contas tinha um arquivo README incorporado em seus repositórios. Foi descoberto que as contagens de commits foram geradas artificialmente por meio de um processo automatizado para inflar a atividade de codificação. Por exemplo, a maioria dos commits registrados eram apenas alterações no arquivo de licença, em vez de atualizações significativas.  

Pasttimerles, um identificador usado por um mantenedor, era notavelmente usado para compartilhar muitos commits. Slunfuedrac, outro identificador, estava vinculado à inclusão de pacotes npm maliciosos nos arquivos do projeto.

Uma vez detectados, os hackers continuaram alternando dependências para contas diferentes. Após a detecção do colortoosv2, eles alternaram para o mimelibv2 e, posteriormente, para o mw3ha31q e o cnaovalles, o que contribuiu para a inflação de commits e a inserção de dependências maliciosas, respectivamente. 

A pesquisa da ReversingLabs vinculou a atividade à Ghost Network da Stargazer, um sistema coordenado de contas que aumenta a credibilidade de repositórios maliciosos. O ataque teve como alvo desenvolvedores que buscam ferramentas de criptomoeda de código aberto e podem confundir estatísticas infladas do GitHub com contas legítimas.

A incorporação de malware na blockchain Ethereum marca uma nova fase na detecção de ameaças

O ataque descoberto segue uma série de ataques direcionados ao ecossistema blockchain. Em março de 2025, o ResearchLabs descobriu outros pacotes npm maliciosos que corrigiam pacotes Ethers legítimos com código que habilitava shells reversos. Os pacotes npm Ether-provider2 e ethers-providerZ contendo código malicioso que habilitava shells reversos foram descobertos. 

Vários casos anteriores, incluindo o comprometimento do pacote ultralytics da PyPI em dezembro de 2024, também foram revelados por distribuir malware para mineração de criptomoedas. Outrosdentincluíram plataformas confiáveis como Google Drive e GitHub Gist sendo usadas para mascarar código malicioso por meio de servidores C2.

De acordo com a pesquisa, 23dentna cadeia de suprimentos relacionados a criptomoedas foram registrados em 2024, variando de malware a violaçõesdent. 

A descoberta mais recente emprega truques antigos, mas apresenta a abordagem detracEthereum como um novo mecanismo. Valentic, pesquisador do Research Labs, disse que a descoberta destaca a rápida evolução das estratégias de evasão de detecção por agentes maliciosos que trollam projetos e desenvolvedores de código aberto. 

A pesquisa destacou a importância de verificar a legitimidade das bibliotecas de código aberto antes da adoção. Valentic alertou que os desenvolvedores devem avaliar cada biblioteca que estão considerando antes de incluí-la em seu ambiente de desenvolvimento. Ela acrescentou que ficou claro que indicadores como estrelas, confirmações e o número de mantenedores podem ser facilmente manipulados.    

Ambos dent , colortoolsv2 e mimelib2, foram removidos do npm e as GitHub foram fechadas, mas a atividade esclareceu como o ecossistema de ameaças de software está evoluindo.

As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer receber? Junte-se a elas .