Selon ReversingLabs, des chercheurs ont découvert deux paquets npm malveillants — colortoolsv2 et mimelib2 — intégrés à une campagne sophistiquée de supply chain ciblant des développeurs de cryptomonnaies. La campagne combine livraison de malware via blockchain et manipulation sociale sur GitHub pour paraître légitime.
Le code JavaScript des paquets est fortement obfusqué et interroge un smart contract Ethereum afin d’obtenir des URLs pointant vers un malware de seconde étape. Le contrat 0x1f117a1b07c108eae05a5bccbe86922d66227e2b héberge les commandes malveillantes, ce qui permet d’éviter la détection basée sur des URLs codées en dur. Le payload de seconde étape (SHA1: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21) agit comme téléchargeur de composants additionnels.
La campagne s’appuie sur une ingénierie sociale poussée sur GitHub : faux dépôts, milliers de faux commits, comptes contributeurs fabriqués et gonflage artificiel des stars/watchers, afin d’inspirer confiance aux victimes visées.
IOCs 📌
- Paquets npm: colortoolsv2, mimelib2
- Adresse du smart contract: 0x1f117a1b07c108eae05a5bccbe86922d66227e2b
- Hash (SHA1) payload 2e étape: 021d0eef8f457eb2a9f9fb2260dd2e391f009a21
TTPs 🧩
- Utilisation de smart contracts Ethereum pour héberger/masquer des indicateurs C2
- JavaScript obfusqué interrogeant la blockchain pour récupérer des URLs de téléchargement
- Downloader en seconde étape pour récupérer d’autres composants malveillants
- Manipulation de dépôts GitHub (faux commits, faux comptes, inflation des métriques)
- Ciblage de développeurs de cryptomonnaies
Type d’article: publication de recherche. Objectif principal: documenter une campagne de supply chain exploitant la blockchain pour l’évasion et détailler ses IOCs/TTPs.
🔗 Source originale : https://www.reversinglabs.com/blog/ethereum-contracts-malicious-code