रिवर्सिंगलैब्स ने पाया कि हमलावरों ने एनपीएम मैलवेयर छिपाने के लिए एथेरियम स्मार्ट कॉन्ट्रैक्ट्स का दुरुपयोग किया

आखिरी अपडेट: 09/05/2025
लेखक: सी सोर्सट्रेल
  • दो एनपीएम पैकेज, 'colortoolsv2' और 'mimelib2', ने पता लगाने से बचने के लिए C2 को एथेरियम स्मार्ट कॉन्ट्रैक्ट के माध्यम से रूट किया।
  • नकली GitHub ट्रेडिंग-बॉट रिपोज़िटरी ने दुर्भावनापूर्ण निर्भरता जोड़ने से पहले चरणबद्ध प्रतिबद्धताओं और खातों के साथ विश्वास को बढ़ाया।
  • उसी ऑन-चेन अनुबंध (0x1f171a1b07c108eae05a5bccbe86922d66227e2b) ने द्वितीय-चरण URL की आपूर्ति की।
  • IoCs में विशिष्ट पैकेज संस्करण और SHA1 हैश शामिल होते हैं; टीमों को इंस्टॉल स्क्रिप्ट में अप्रत्याशित ब्लॉकचेन कॉल की निगरानी करनी चाहिए।

एथेरियम स्मार्ट कॉन्ट्रैक्ट्स एनपीएम मैलवेयर छिपा रहे हैं

रिवर्सिंगलैब्स ने दो एनपीएम पैकेजों को चिह्नित किया है जिसने चुपचाप इंस्टॉलेशन लॉजिक को एक एथेरियम स्मार्ट कॉन्ट्रैक्ट के ज़रिए रूट किया, जिससे एक सार्वजनिक ब्लॉकचेन कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर के लिए एक गुप्त डायरेक्टरी में बदल गया। पैकेज, 'colortoolsv2' और 'mimelib2', दूसरे चरण के पेलोड की पुनर्प्राप्ति को सक्षम करते हुए, सरल उपयोगिताओं के रूप में प्रस्तुत हुए।

C2 पते को ऑन-चेन अनुबंध के लिए आउटसोर्स करके, ऑपरेटरों ने अपने ट्रैफ़िक को सामान्य ब्लॉकचेन गतिविधि की तरह लपेट दिया, एक ऐसा कदम जो स्थैतिक और प्रतिष्ठा-आधारित पहचान को जटिल बनाता है0x1f171a1b07c108eae05a5bccbe86922d66227e2b पर अनुबंध ने रीड फ़ंक्शन को उजागर किया जो एक URL लौटाता था जिससे इंस्टॉलर बाद में संपर्क करेंगे।

Ethereum स्मार्ट कॉन्ट्रैक्ट्स en npm
संबंधित लेख:
दुर्भावनापूर्ण एनपीएम पैकेजों ने पेलोड लिंक को छिपाने के लिए एथेरियम स्मार्ट कॉन्ट्रैक्ट्स का उपयोग किया

एनपीएम लोडर से ऑन-चेन C2 तक

एनपीएम-टू-एथेरियम स्मार्ट कॉन्ट्रैक्ट श्रृंखला कैसे काम करती है

'colortoolsv2' के अंदर, एक पतली index.js लोडर एक बाहरी कमांड को लागू किया जिसका स्थान स्थानीय रूप से हार्डकोडेड नहीं था। इसके बजाय, इसने एक एथेरियम स्मार्ट कॉन्ट्रैक्ट से उस एंडपॉइंट के लिए क्वेरी की जो होस्ट को कमांड-एंड-कंट्रोल की ओर निर्देशित करेगा।

सार्वजनिक खोजकर्ता जैसे इथरस्कैन अनुबंध दिखाएं सरल रीड फ़ंक्शन्स को उजागर करना जो एक URL लौटाते हैं, और चेन को हमलावर के बुनियादी ढाँचे के लिए एक लचीले पॉइंटर के रूप में प्रभावी ढंग से उपयोग करते हैं। चूँकि अंतिम हॉप एक ब्लॉकचेन कॉल से प्राप्त होता है, इसलिए डिफेंडर्स को npm पैकेज में बेक किया गया कोई स्थिर डोमेन दिखाई नहीं देता।

इसकी खोज के बाद, 'colortoolsv2' को 7 जुलाई को npm पर ब्लॉक कर दिया गयाविश्लेषण के अनुसार, इसके तुरंत बाद, ऑपरेटरों ने 'mimelib2' प्रकाशित किया, जिसमें दूसरे चरण को वितरित करने के लिए लगभग समान तर्क और समान स्मार्ट अनुबंध का पुनः उपयोग किया गया।

एक बार निष्पादित होने के बाद, लोडर ने एक प्राप्त किया दूसरे चरण के घटक जिसका हैश शोधकर्ताओं द्वारा प्रकाशित किया गया था (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21)। इस अप्रत्यक्षता से हमलावर कोड को रीपैकेज करने के बजाय ऑन-चेन डेटा को संपादित करके अपनी इच्छानुसार गंतव्यों को घुमा सकते हैं।

दुर्भावनापूर्ण निर्भरताओं को छिपाने के लिए GitHub विश्वसनीयता का एक प्रयास

GitHub रिपॉजिटरी को npm मैलवेयर छिपाने के लिए तैयार किया गया

रिवर्सिंगलैब्स ने नकली GitHub परियोजनाओं के एक जाल का भी पता लगाया, जो इस प्रकार प्रस्तुत किए गए थे क्रिप्टो ट्रेडिंग बॉटहज़ारों कमिट्स, कई मेंटेनर्स, स्टार्स और वॉचर्स से भरपूर। 'सोलाना-ट्रेडिंग-बॉट-वी2' जैसी रिपॉजिटरीज़ जीवंत दिखती थीं, लेकिन ज़्यादातर गतिविधियाँ स्वचालित अव्यवस्था से भरी थीं।

कई प्रतिबद्धताओं ने तुच्छ फ़ाइलों (उदाहरण के लिए, बार-बार लाइसेंस संपादन) को मंथन किया, जबकि क्लस्टर 10 जुलाई के आसपास बनाए गए समान दिखने वाले खाते इनमें लगभग कोई वास्तविक सामग्री नहीं थी—कुछ README फ़ाइलों में सिर्फ़ 'Hello' लिखा था। 'slunfuedrac', 'cnaovalles' और 'pasttimerles' जैसे उपयोगकर्ता नाम बार-बार दिखाई देते थे, जिससे वैधता का संकेत मिलता था।

कोड अंतर ने ट्रेडिंग-बॉट कोड में दुर्भावनापूर्ण निर्भरता को जोड़ा जाना दिखाया (उदाहरण के लिए, bot.ts और src/index.ts में आयात), पहले 'colortoolsv2' के ज़रिए और बाद में 'mimelib2' के ज़रिए। शोरगुल भरे कमिट इतिहास के बीच, एक सामान्य समीक्षक के लिए यह जुड़ाव कहीं कम स्पष्ट हो गया।

एनपीएम और गिटहब को एक साथ जोड़कर, अभिनेता धुंधले पारंपरिक विश्वास संकेतजिससे छिपी हुई निर्भरता एक ऐसी परियोजना में बदल गई जो सक्रिय, सुव्यवस्थित और समुदाय द्वारा समर्थित प्रतीत हुई।

IoCs, दायरा और रक्षकों को क्या देखना चाहिए

एनपीएम और एथेरियम अनुबंध योजना से जुड़े प्रमुख संकेतक

रिवर्सिंगलैब्स ने निम्नलिखित प्रकाशित किया समझौता के संकेतक (IoCs) इस अभियान से जुड़े:

  • एनपीएम पैकेज: कलरटूल्सv2 1.0.0 (SHA1 678c20775ff86b014ae8d9869ce5c41ee06b6215), 1.0.1 (1bb7b23f45ed80bce33a6b6e6bc4f99750d5a34b), 1.0.2 (db86351f938a55756061e9b1f4469ff2699e9e27)
  • एनपीएम पैकेज: माइमलिब2 1.0.0 (bda31e9022f5994385c26bd8a451acf0cd0b36da), 1.0.1 (c5488b605cf3e9e9ef35da407ea848cf0326fdea)
  • दूसरा चरण: SHA1 021d0eef8f457eb2a9f9fb2260dd2e39ff009a21
  • स्मार्ट अनुबंध: 0x1f171a1b07c108eae05a5bccbe86922d66227e2b

यह दृष्टिकोण Gists या क्लाउड स्टोरेज जैसी विश्वसनीय होस्टिंग के पूर्व दुरुपयोग की याद दिलाता है, लेकिन ऑन-चेन ट्विस्ट स्थिर ब्लॉकलिस्ट को कमजोर करता है और सरल स्रोत जाँच। पैकेज को छुए बिना अनुबंध में C2 स्थान बदला जा सकता है, और क्रिप्टो-आसन्न वातावरण में ब्लॉकचेन ट्रैफ़िक को सामान्य मानकर गलत समझा जा सकता है।

व्यावहारिक कदमों में स्टार्स और कमिट्स से परे निर्भरता उद्गम की समीक्षा करना शामिल है, अप्रत्याशित ब्लॉकचेन RPC कॉल की निगरानी इंस्टॉल/बिल्ड चरणों के दौरान, किसी भी रनटाइम-समाधानित URL को सत्यापित करना, और ज्ञात-अच्छे संस्करणों को अखंडता जाँच के साथ पिन करना। सुरक्षा टीमों को उन रिपॉजिटरी की भी तलाश करनी चाहिए जिनकी गतिविधि मामूली, स्वचालित कमिट्स द्वारा कृत्रिम रूप से बढ़ाई जाती है।

यह मामला दिखाता है कि कैसे एथेरियम स्मार्ट कॉन्ट्रैक्ट्स का पुन: उपयोग किया जा सकता है एनपीएम पारिस्थितिकी तंत्र में मैलवेयर वितरण के लिए लचीले संकेतक के रूप में, जबकि मंचित गिटहब गतिविधि स्पष्ट रूप से दुर्भावनापूर्ण निर्भरताओं को छुपाती है; ओपन सोर्स और ऑन-चेन बुनियादी ढांचे के बीच इन ओवरलैप्स के बारे में जागरूकता अब डेवलपर और उद्यम सुरक्षा के लिए आवश्यक है।

संबंधित पोस्ट: