交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
软件供应链攻击的演变趋势令人担忧
网络安全领域出现令人不安的新动向:攻击者正利用以太坊智能合约将恶意代码隐藏在开源库中。最新研究显示,黑客通过区块链合约植入命令控制指令,这使得防御者的检测和封锁工作变得异常复杂。这种攻击方式既表明恶意软件分发手段日趋复杂化,也反映出区块链技术正在沦为网络犯罪的工具。
攻击特征概述
• 攻击者通过以太坊智能合约在开源库中隐藏恶意程序
• 恶意npm包通过区块链获取攻击载荷,规避传统防御机制
• 虚假GitHub仓库扩大攻击面,通过轮换依赖项实现广泛感染
攻击技术分析
本次攻击主要针对托管数百万JavaScript包的npm平台。研究团队发现两个可疑的软件包"colortoolsv2"和"mimelib2"充当了恶意代码载体。与直接嵌入恶意链接的传统方式不同,这些恶意软件执行混淆脚本后,会向以太坊合约查询获取攻击载荷位置。这种创新手法使得依赖硬编码域名检测的传统安全系统难以奏效。
当脚本访问智能合约后,受感染的软件包会下载二级恶意组件。这种设计赋予攻击者极大灵活性——他们只需更改区块链上的载荷位置,而无需修改npm包本身。更隐蔽的是,攻击者还创建了加密货币主题的GitHub仓库,通过伪造星标和自动生成提交记录来伪装成合法项目,诱使开发者引入恶意依赖。
跨平台攻击态势
安全团队进一步发现,这些恶意npm包实际上关联着针对GitHub平台的更大规模攻击。以"solana-trading-bot-v2"为代表的虚假仓库通过自动化提交和伪造社区活动来建立可信度。在这些表象背后,攻击者持续更换不同名称的恶意依赖项,使感染范围扩散至多个项目。
值得注意的是,这次攻击与此前曝光的欺诈交易机器人事件存在技术关联。最新攻击活动表明,威胁行为者不仅在滥用开源生态的信任机制,更开始系统性地将区块链技术整合到攻击链条中,这标志着软件供应链安全面临全新的挑战维度。
