以太坊智能合约成恶意软件新载体，供应链攻击升级

以太坊正成为软件供应链攻击的新前沿。ReversingLabs研究人员本周揭露了一起利用以太坊智能合约隐藏恶意代码的新型攻击事件。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

恶意包潜伏于主流Node.js生态

名为“colortoolsv2”和“mimelib2”的NPM包被上传至全球最大的Node.js包管理器存储库。表面看是普通工具，实则通过以太坊智能合约动态获取恶意URL，引导系统下载第二阶段攻击载荷。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

区块链掩护下的隐蔽攻击

攻击者将命令嵌入以太坊智能合约，使恶意流量表现为合法区块链交互。这使得传统安全检测难以识别，显著提升了攻击隐蔽性。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

攻击策略演变：从云服务到区块链

过去攻击者常借助GitHub Gists、Google Drive等可信平台托管恶意链接。如今，他们转向以太坊智能合约，为攻击注入加密元素，实现更高级别的规避。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

大规模伪造项目构成协同威胁

此次事件并非孤立。研究人员还发现多个虚假GitHub代码库，伪装成加密货币交易机器人。这些项目拥有高星级、频繁提交和活跃账户，极具欺骗性。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

开发者需警惕“看似无害”的包

即便包有高下载量或维护者活跃，也可能由伪造身份控制。一旦引入，即可能触发恶意行为，如窃取钱包凭证或部署挖矿程序。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

开源生态风险持续加剧

去年已有超过20起针对npm和PyPI等开源仓库的攻击被披露。随着攻击者不断融合区块链技术，软件供应链安全形势日益严峻。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

ReversingLabs研究员Lucija Valentić指出：“这是前所未见的形态。它揭示了攻击者在绕过安全检测方面策略的快速进化。”het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯

开发人员应强化依赖项审查机制，结合区块链分析工具，对可疑智能合约调用保持高度警觉，防范潜在供应链入侵。het比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯