Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el registro de NPM que hacen uso de contratos inteligentes para que Ethereum Blockchain realice acciones maliciosas en sistemas comprometidos, lo que indica la tendencia de los actores de amenaza constantemente en la búsqueda de nuevas formas de distribuir malware y explosionar bajo el radar.
«Los dos paquetes de NPM abusaron de contratos inteligentes para ocultar comandos maliciosos que instalaron malware descargador en sistemas comprometidos», dijo la investigadora de reversinglabs, Lucija Valentić, en un documentación compartido con Hacker News.
Los paquetes, los dos cargados a NPM en julio de 2025 y ya no están disponibles para descargar, se enumeran a continuación –
La firma de seguridad de la esclavitud de suministro de software dijo que las bibliotecas son parte de una campaña más prócer y sofisticada que afecta tanto a NPM como a GitHub, engañando a los desarrolladores desprevenidos para que los descarguen y la ejecución.
Si adecuadamente los paquetes en sí no hacen ningún esfuerzo para ocultar su funcionalidad maliciosa, ReversingLabs señaló que los proyectos de GitHub que importaron estos paquetes se esforzaron para que parecieran creíbles.
En cuanto a los paquetes en sí, el comportamiento nefasto se activa una vez que se usa o se incluye en algún otro plan, lo que hace que busque y ejecute una carga útil de la próxima etapa de un servidor controlado por el atacante.
Aunque este es el costo para el curso cuando se negociación de descargadores de malware, donde se distingue es el uso de contratos inteligentes de Ethereum para organizar las URL que alojan la carga útil, una técnica que recuerda a Etherhiding. El cambio subraya las nuevas tácticas que los actores de amenaza están adoptando para evitar la detección.
Una investigación adicional sobre los paquetes ha revelado que se hace relato en una red de repositorios de GitHub que afirman ser un Solana-Trading-Bot-V2 que aprovecha los «datos en la esclavitud en tiempo efectivo para ejecutar operaciones automáticamente, ahorrando su tiempo y esfuerzo». La cuenta de GitHub asociada con el repositorio ya no está apto.
Se evalúa que estas cuentas son parte de una ofrecimiento de distribución como servicio (DAAS) citación Stargazers Ghost Network, que se refiere a un conjunto de cuentas falsas de Github que se sabe que protagoniza, bifurcan, observa, compromete y se suscribe a repositorios maliciosos para inflar artificialmente su popularidad.
Entre los compromisos se encuentran cambios en el código fuente para importar Colortoolsv2. Algunos de los otros repositorios capturados empujando el paquete NPM son Ethereum-Mev-Bot-V2, arbitraje-bots y hiperliquid-trading-bot.
El elección de estos repositorios de GitHub sugiere que los desarrolladores y usuarios de criptomonedas son el objetivo principal de la campaña, utilizando una combinación de ingeniería social y farsa.
«Es fundamental que los desarrolladores evalúen cada biblioteca que están considerando implementar antiguamente de lanzarse incluirla en su ciclo de incremento», dijo Valentić. «Y eso significa retirar las portadas de los paquetes de código amplio y sus mantenedores: mirar más allá de los números crudos de los mantenedores, los compromisos y las descargas para evaluar si un paquete determinado y los desarrolladores detrás de él son lo que se presentan».
