网络安全研究人员在 npm 注册表上发现了两个新的恶意包，它们利用以太坊区块链的智能合约在受感染的系统上执行恶意作，这表明威胁行为者不断寻找分发恶意软件的新方法并在雷达下飞行的趋势。

“这两个 npm 包滥用智能合约来隐藏在受感染系统上安装下载器恶意软件的恶意命令，”ReversingLabs 研究员 Lucija Valentić 在与 The Hacker News 分享的一份报告中说。

这些软件包均于 2025 年 7 月上传到 npm，不再可供下载，如下所示：

• colortoolsv2 （7 次下载）
• mimelib2（1 次下载）

这家软件供应链安全公司表示，这些库是影响 npm 和 GitHub 的更大、更复杂的活动的一部分，诱骗毫无戒心的开发人员下载和运行它们。

虽然这些包本身并没有努力隐藏其恶意功能，但 ReversingLabs 指出，导入这些包的 GitHub 项目煞费苦心地让它们看起来可信。

至于包本身，一旦它们中的任何一个被使用或包含在其他项目中，邪恶行为就会开始，导致它从攻击者控制的服务器获取并运行下一阶段的有效负载。

尽管这对于恶意软件下载器来说是理所当然的，但它的与众不同之处在于使用以太坊智能合约来暂存托管有效负载的 URL——这种技术让人想起 EtherHiding。这一转变凸显了威胁行为者为逃避检测而采取的新策略。

对这些软件包的进一步调查表明，它们在 GitHub 存储库网络中被引用，声称是 solana-trading-bot-v2，它利用“实时链上数据自动执行交易，节省您的时间和精力”。与存储库关联的 GitHub 帐户不再可用。

据评估，这些帐户是名为 Stargazers Ghost Network 的分发即服务 （DaaS） 产品的一部分，该产品是指一组虚假的 GitHub 帐户，这些帐户已知会加注星标、分叉、监视、提交和订阅恶意存储库，以人为地抬高其受欢迎程度。

这些提交包括导入 colortoolsv2 的源代码更改。其他一些被发现推送 npm 包的存储库是 ethereum-mev-bot-v2、arbitrage-bot 和 hyperliquid-trading-bot。

这些 GitHub 存储库的命名表明，加密货币开发人员和用户是该活动的主要目标，结合了社会工程和欺骗手段。

“对于开发人员来说，在决定将每个库纳入开发周期之前，评估他们正在考虑实施的每个库至关重要，”Valentić 说。“这意味着要揭开开源包及其维护者的面纱：超越维护者、提交和下载的原始数量，以评估给定包——以及它背后的开发人员——是否是他们所展示的那样。”