Ethereum aqlli shartnomalari jimjit tarzda dasturchilarni nishonga olgan javascript zararli dasturini tarqatmoqda

Hackerlar Ethereum smart contractlaridan foydalanib, zararli dastur yuklamalarini ko‘rinishda oddiy bo‘lib ko‘ringan npm paketlariga yashirishmoqda. Bu usul blockchain’ni barqaror buyruq kanali sifatida ishlatadi va bunday tahdidlarni yo‘q qilishni qiyinlashtiradi.

ReversingLabs colortoolsv2 va mimelib2 nomli ikki npm paketini batafsil o‘rgandi. Ular Ethereum’dagi bir contractni o‘qib, ikkinchi bosqich yuklovchisi uchun URL manzilini oladi. Bu esa infratuzilmani paket ichida qattiq kodlash o‘rniga tanlangan bo‘lib, statik indikatorlarni kamaytiradi va manba kod ko‘rib chiqishlarida kamroq iz qoldiradi.

Ushbu paketlar iyul oyida paydo bo‘ldi va fosh qilingandan so‘ng olib tashlandi. ReversingLabs ularning targ‘ibotini GitHub’dagi trading bot sifatida ko‘rsatilgan, jumladan solana-trading-bot-v2 kabi, soxta yulduzlar, sun’iy commit tarixlari va soxta maintainer’lar bilan to‘ldirilgan repositorylar tarmog‘iga bog‘ladi. Bu ijtimoiy qatlam ishlab chiquvchilarni zararli dependency zanjiriga yo‘naltirgan.

Yuklab olishlar soni kam bo‘lgan, lekin usul muhim. The Hacker News’ga ko‘ra, colortoolsv2 yetti marta, mimelib2 esa bir marta yuklab olingan, bu esa hali ham imkoniyatni kutayotgan ishlab chiquvchilarni nishonga olishga mos keladi. Snyk va OSV hozirda ikkala paketni ham zararli deb ro‘yxatga olgan, bu esa jamoalarga tarixiy build’larni tezda tekshirish imkonini beradi.

Tarix o‘zini takrorlamoqda

On-chain buyruq kanali tadqiqotchilar 2024 yil oxirida yuzlab npm typosquat’larida kuzatgan kengroq kampaniyani eslatadi. O‘sha to‘lqinda paketlar install yoki preinstall script’larini ishga tushirib, Ethereum contract’iga so‘rov yuborgan, asosiy URL manzilini olgan va so‘ngra node-win.exe, node-linux yoki node-macos nomli OSga mos yuklamalarni yuklab olgan.

Checkmarx asosiy contract’ni 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b manzilida va wallet parametrini 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84 sifatida hujjatlashtirgan, kuzatilgan infratuzilma esa 45.125.67.172:1337 va 193.233.201.21:3001 portlarida joylashgan, boshqalar ham mavjud.

Phylum’ning deobfuskatsiyasi ethers.js orqali getString(address) chaqirig‘ini xuddi shu contract’da ko‘rsatadi va vaqt o‘tishi bilan C2 manzillarining o‘zgarishini log qiladi. Bu xatti-harakat contract holatini zararli dastur olish uchun harakatlanuvchi ko‘rsatkichga aylantiradi. Socket mustaqil ravishda typosquat to‘lqinini xaritaladi va mos keluvchi IOC’larni, shu jumladan xuddi shu contract va wallet’ni e’lon qildi hamda manbalararo moslikni tasdiqladi.

Eski zaiflik hanuzgacha faol

ReversingLabs 2025 yilgi paketlarni miqyos emas, balki texnika davomchisi sifatida ko‘radi, farqi shundaki, smart contract keyingi bosqich uchun URL manzilini saqlaydi, yuklamani emas.

GitHub’dagi tarqatish ishlari, jumladan soxta stargazer’lar va sun’iy commit’lar, oddiy tekshiruvdan o‘tish va soxta repo klonlarida avtomatik dependency yangilanishlaridan foydalanishni maqsad qilgan.

Dizayn ilgari uchinchi tomon platformalaridan, masalan GitHub Gist yoki cloud storage’dan foydalanishga o‘xshaydi, lekin on-chain saqlash o‘zgarmaslik, ochiq o‘qish va himoyachilar osonlikcha o‘chirib qo‘ya olmaydigan neytral maydonni qo‘shadi.

ReversingLabs’ga ko‘ra, ushbu hisobotlardagi aniq IOC’lar quyidagilar: iyul paketlariga bog‘langan 0x1f117a1b07c108eae05a5bccbe86922d66227e2b Ethereum contract’i va 2024 contract’i 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, host pattern’lar 45.125.67.172 va 193.233.201.21, portlari 1337 yoki 3001, va yuqorida qayd etilgan platforma yuklama nomlari.

2025 yilgi ikkinchi bosqich uchun hash’lar 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, 2024 yilgi to‘lqin uchun esa Checkmarx Windows, Linux va macOS uchun SHA-256 qiymatlarini keltirgan. ReversingLabs har bir zararli npm versiyasi uchun SHA-1’larni ham e’lon qilgan, bu esa jamoalarga artefakt do‘konlarini o‘tmishdagi ta’sir uchun skanerlashga yordam beradi.

Hujumdan himoyalanish

Himoya uchun eng tezkor nazorat – install va CI jarayonida lifecycle script’larning ishlashini oldini olish. npm hujjatlarida npm ci va npm install uchun --ignore-scripts flag’i ko‘rsatilgan, jamoalar uni .npmrc’da global tarzda o‘rnatib, kerakli build’larni alohida bosqichda ruxsat berishlari mumkin.

Node.js xavfsizlik bo‘yicha eng yaxshi amaliyotlar sahifasi ham xuddi shu yondashuvni, versiyalarni lockfile orqali mahkamlash va maintainer’lar hamda metadata’ni qat’iyroq ko‘rib chiqishni tavsiya qiladi.

Yuqoridagi IOC’larga chiqish trafigini bloklash va build log’larida ethers.js orqali getString(address) so‘rovi boshlanganda ogohlantirish – bu zanjir asosidagi C2 dizayniga mos amaliy aniqlash usullaridir.

Paketlar olib tashlangan, lekin usul saqlanib qolgan va on-chain yo‘naltirish endi typosquat va soxta repo’lar qatorida ishlab chiquvchi kompyuterlariga yetib borishning takrorlanuvchi usuli sifatida turibdi.

Ethereum smart contract’lari ishlab chiquvchilarni nishonga olgan javascript zararli dasturlarini yashirincha tarqatmoqda sarlavhali post birinchi bo‘lib CryptoSlate’da paydo bo‘ldi.