Condividi questo articolo
Gli hacker di criptovalute stanno ora utilizzando i contratti intelligenti di Ethereum per mascherare i payload di malware
Un codice dall’aspetto semplice ha sfruttato la blockchain di Ethereum per recuperare URL nascosti che hanno indirizzato i sistemi compromessi a scaricare malware di seconda fase.
Cosa sapere:
- I ricercatori hanno scoperto pacchetti NPM dannosi che utilizzano smart contract di Ethereum per nascondere codice maligno.
- I pacchetti hanno camuffato la loro attività come traffico legittimo della blockchain, rendendo difficile la rilevazione.
- Gli sviluppatori sono avvertiti che anche commit popolari possono essere falsificati, comportando rischi per la catena di approvvigionamento.
Ethereum è diventato l'ultimo fronte per gli attacchi alla catena di approvvigionamento del software.
Ricercatori di ReversingLabs all'inizio di questa settimana ha scoperto due pacchetti NPM dannosi che utilizzavano smart contract Ethereum per nascondere codice malevolo, consentendo al malware di bypassare i controlli di sicurezza tradizionali.
La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter Crypto Daybook Americas oggi. Vedi tutte le newsletter
NPM è un gestore di pacchetti per l’ambiente di esecuzione Node.js ed è considerato il più grande registro di software al mondo, dove gli sviluppatori possono accedere e condividere codice che contribuisce a milioni di programmi software.
I pacchetti, “colortoolsv2” e “mimelib2,” sono stati caricati nel luglio scorso nel popolare repository Node Package Manager. A prima vista sembravano semplici utility, ma in pratica sfruttavano la blockchain di Ethereum per recuperare URL nascosti che inducevano i sistemi compromessi a scaricare malware di secondo stadio.
Incorporando questi comandi all'interno di un contratto intelligente, gli attaccanti hanno mascherato la loro attività come traffico legittimo sulla blockchain, rendendo più difficile la rilevazione.
“Questo è qualcosa che non avevamo visto in precedenza,” ha dichiarato la ricercatrice di ReversingLabs Lucija Valentić nel loro rapporto. “Evidenzia l’evoluzione rapida delle strategie di elusione della rilevazione da parte di attori malevoli che stanno esaminando repository open source e sviluppatori.”
La tecnica si basa su un vecchio manuale. Attacchi passati hanno utilizzato servizi affidabili come GitHub Gists, Google Drive o OneDrive per ospitare link dannosi. Sfruttando invece i smart contract di Ethereum, gli aggressori hanno aggiunto una variante in chiave crypto a una tattica della supply chain già pericolosa.
L'incidente fa parte di una campagna più ampia. ReversingLabs ha scoperto che i pacchetti erano collegati a falsi repository GitHub che si spacciavano per bot di trading di criptovalute. Questi repository erano gonfiati con commit fabbricati, account utente fasulli e un numero esagerato di stelle per apparire legittimi.
Gli sviluppatori che hanno prelevato il codice hanno rischiato di importare malware senza esserne consapevoli.
I rischi legati alla supply chain negli strumenti open-source per crypto non sono una novità. Lo scorso anno, i ricercatori hanno segnalato oltre 20 campagne dannose che prendevano di mira gli sviluppatori attraverso repository come npm e PyPI.
Molti erano destinati a rubare le credenziali del portafoglio o a installare miner di criptovalute. Tuttavia, l'uso dei contratti intelligenti di Ethereum come meccanismo di consegna dimostra che gli avversari si stanno adattando rapidamente per integrarsi negli ecosistemi blockchain.
Un aspetto importante per gli sviluppatori è che i commit popolari o i manutentori attivi possono essere falsificati, e anche pacchetti apparentemente innocui possono contenere payload nascosti.
Di più per voi
Cosa sapere:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Di più per voi
La Profonda Correzione di Bitcoin Prepara il Terreno per un Rimbalzo a Dicembre, Secondo K33 Research
K33 Research afferma che la paura del mercato sta prevalendo sui fondamentali mentre il bitcoin si avvicina a livelli chiave. Dicembre potrebbe offrire un punto di ingresso per investitori audaci.
Cosa sapere:
- K33 Research afferma che la brusca correzione del bitcoin mostra segnali di stabilizzazione, con dicembre che potrebbe segnare un punto di svolta.
- La società ha sostenuto che il mercato stia reagendo in modo eccessivo ai rischi a lungo termine, trascurando invece segnali di forza a breve termine, come la bassa leva finanziaria e solidi livelli di supporto.
- Con probabili cambiamenti di politica all'orizzonte e posizionamenti prudenti nei futures, K33 vede maggiori potenziali rialzi rispetto al rischio di un'altra grande crisi.
