- Hackers estão implantando uma nova tática de evasão usando contratos inteligentes Ethereum para ignorar a detecção em pacotes NPM maliciosos
- Dois pacotes em especial, “colortoolsv2” e “mimelib2”, acessam contratos Ethereum para baixar comandos remotos de ataque
- Segundo a pesquisadora Lucija Valentić, esse padrão marca uma evolução nos ataques a ecossistemas Web3
Pesquisadores da ReversingLabs identificaram uma nova ameaça que atinge desenvolvedores Ethereum. Pacotes NPM maliciosos agora utilizam contratos inteligentes para esconder links que ativam malwares. Dois pacotes em especial, “colortoolsv2” e “mimelib2”, acessam contratos Ethereum para baixar comandos remotos de ataque. Essa técnica inovadora representa um avanço na sofisticação de ataques à cadeia de suprimentos de software. Além disso, o método contorna ferramentas tradicionais de segurança ao usar infraestrutura legítima da blockchain como vetor de ataque.
Código malicioso acessa contratos Ethereum para buscar comandos remotos
Os pacotes foram publicados entre julho e agosto e se disfarçavam como bibliotecas comuns para manipulação de cores e e-mails. Entretanto, após a instalação, eles conectam-se a contratos Ethereum para extrair links de payload malicioso. Essa abordagem engana firewalls, já que o tráfego parece legítimo.
⚠️ New RL threat research: 2 malicious #npm packages abuse #Ethereum smart contracts to load #malware on compromised devices. https://t.co/wzDRKfm2yh
— ReversingLabs (@ReversingLabs) September 3, 2025
Segundo a pesquisadora Lucija Valentić, esse padrão marca uma evolução nos ataques a ecossistemas Web3. Além disso, os pacotes vieram acompanhados de repositórios GitHub falsos com commits forjados e perfis simulados para reforçar a credibilidade.
Os contratos usados hospedam apenas um campo de dados com o link malicioso, o que reduz chances de detecção por sistemas automatizados.
Repositórios falsos e recomendações para desenvolvedores
A campanha de disseminação incluiu dezenas de repositórios com nomes atraentes, como bots de negociação de criptomoedas e utilitários populares. Os invasores apostaram em engenharia social, com descrições bem escritas, perfis profissionais e histórico de atividade artificial.
Além disso, a presença de estrelas falsas e contribuições fictícias ajudou a iludir usuários. Portanto, desenvolvedores devem evitar confiar apenas em popularidade ou aparência de um pacote. É essencial utilizar ferramentas de auditoria de dependências, validar códigos-fonte e rastrear conexões externas.
Assim, é possível reduzir o risco de inclusão de malwares sofisticados como os analisados. A vigilância se torna cada vez mais necessária diante da evolução das ameaças no desenvolvimento descentralizado.
