软件安全公司逆向实验室发现了一种新型攻击手段：黑客通过以太坊智能合约传播恶意软件。这一复杂活动试图利用中毒的区块链相关公共代码库作为攻击媒介，针对用户实施攻击。

研究人员指出，两个名为颜色工具v2 和 mimelib2的 Node 包管理器 (NPM) 库被用来下载恶意软件。这些库实际上是相同的，包含一个脚本，该脚本通过以太坊智能合约获取第二阶段恶意软件的下载链接。NPM 包是开发人员常用的开源代码集合，因此其潜在威胁范围广泛。

ReversingLabs 的软件威胁研究员 Lucija Valentić 表示：“这种使用以太坊智能合约托管恶意命令 URL 的方法是我们以前从未见过的。”她补充道，“‘下载器’每周甚至每天都会发布到 npm 存储库，新奇之处在于它借助智能合约完成恶意行为。”

这两个软件包只是冰山一角。ReversingLabs 进一步调查发现，GitHub 上存在更大规模的恶意软件攻击网络。该公司识别出一系列与 colortoolsv2 恶意软件包相关的存储库，其中许多伪装成加密货币交易机器人或代币狙击工具。

Valentić 强调：“尽管 NPM 软件包本身并不复杂，但攻击者投入了大量精力使存放恶意代码的存储库看起来值得信赖。”她解释说，一些代码库拥有数千条提交记录、大量星标和多个贡献者，这容易让开发者产生信任感。然而，ReversingLabs 认为这些活动大部分是伪造的。

匿名链上侦探 0xToolman 警告称：“程序员通常不会怀疑公开维护的代码库存在问题，这尤其危险。”他分析认为，这可能是因为人们普遍认为开源等于透明且安全，也可能因为开发者无法逐一检查所使用的每一段代码。

币安将 NPM 中毒事件与朝鲜联系起来

大型中心化交易所币安表示已注意到此类攻击，并要求员工仔细审查 NPM 库。币安首席安全官 Jimmy Su 指出，包裹投毒已成为朝鲜黑客的主要攻击媒介之一，对加密货币行业构成重大威胁。

Su 在接受采访时提到：“目前针对加密货币行业的最大威胁来自国家行为者，尤其是朝鲜及其旗下的 Lazarus 黑客组织。他们在过去几年中专注于加密货币领域并取得了显著成功。”根据链式分析报告，2024 年 61% 的加密货币被盗案件（总额达 13 亿美元）被认为是由朝鲜黑客造成的。此外，FBI 将史上最大的 14 亿美元 Bybit 黑客攻击归咎于朝鲜袭击者。

除了假冒员工外，NPM 软件包中毒与虚假面试诈骗并列为第二大攻击途径。为了应对这一威胁，主要加密货币交易所通过 Telegram 和 Signal 群组共享情报，及时标记中毒库。

“我们这个联盟一直站在前线，充当黑客攻击或事件响应的第一响应者。多年来，我们与其他交易所如 Coinbase 和 Kraken 密切合作，共同打击威胁。目前，一些更正式的联盟正在形成，但我们已经在前线运营多年。” Su 总结道。