Pesquisadores de segurança cibernética identificaram dois pacotes maliciosos publicados no repositório npm que utilizam contratos inteligentes da blockchain Ethereum para ocultar e distribuir comandos maliciosos. A descoberta evidencia como hackers continuam inovando suas técnicas para evadir a detecção e comprometer sistemas de forma silenciosa.
Segundo relatório da pesquisadora Lucija Valentić, da empresa ReversingLabs, os pacotes foram usados para instalar malware do tipo downloader em máquinas comprometidas. O código malicioso era acionado assim que os pacotes eram utilizados ou incluídos em outros projetos, permitindo que uma carga adicional fosse baixada a partir de um servidor controlado por atacantes.
Os pacotes identificados foram:
-
colortoolsv2(7 downloads) -
mimelib2(1 download)
Ambos foram enviados ao npm em julho de 2025 e, desde então, já foram removidos da plataforma.
Uma campanha mais ampla e sofisticada
A ReversingLabs afirma que os pacotes fazem parte de uma campanha de distribuição de malware bem estruturada, que também inclui projetos hospedados no GitHub. Esses repositórios eram cuidadosamente projetados para parecerem legítimos, atraindo desenvolvedores desavisados — especialmente da comunidade de criptomoedas.
Apesar de os pacotes npm conterem o código malicioso de forma relativamente visível, os repositórios GitHub associados se esforçavam para parecer confiáveis. Eles prometiam funcionalidades como “dados em tempo real para bots de negociação”, com nomes atrativos como:
-
solana-trading-bot-v2 -
ethereum-mev-bot-v2 -
arbitrage-bot -
hyperliquid-trading-bot
O ponto mais inovador da campanha foi o uso da blockchain Ethereum para armazenar URLs maliciosas dentro de contratos inteligentes — uma técnica semelhante à já conhecida EtherHiding. Isso permitiu aos atacantes ocultar e alterar dinamicamente os links de malware fora do alcance de sistemas tradicionais de detecção.
Operação conectada à Stargazers Ghost Network
A investigação também relaciona a campanha a uma operação conhecida como Stargazers Ghost Network — uma rede de contas falsas no GitHub criada para manipular métricas como estrelas, forks e commits, com o objetivo de inflar artificialmente a popularidade de repositórios maliciosos. Essa rede faz parte de um modelo chamado Distribuição como Serviço (DaaS), usado por grupos para disseminar malware em larga escala.
Commits em alguns desses repositórios mostraram a importação direta dos pacotes maliciosos, com alterações no código-fonte claramente voltadas para executar ações automatizadas maliciosas.
Alvo: desenvolvedores do ecossistema cripto
Os nomes dos repositórios e a natureza dos pacotes apontam que os desenvolvedores e usuários ligados ao mercado de criptomoedas são o público-alvo principal da campanha. Por isso, a pesquisadora Valentić alerta para a importância de uma análise criteriosa de pacotes antes de usá-los:
“Isso significa examinar não só o código aberto em si, mas também os mantenedores por trás dos projetos. Não basta olhar para o número de estrelas, downloads ou commits. É essencial verificar se os desenvolvedores são legítimos e confiáveis”, conclui.
