Uma nova campanha de malware está mirando desenvolvedores do npm através de pacotes typosquat — versões de pacotes populares com nomes ligeiramente alterados para enganar quem digita incorretamente os nomes legítimos. O ataque utiliza contratos inteligentes Ethereum para distribuir endereços de servidores de comando e controle (C2), uma tática que torna a campanha mais resiliente contra bloqueios. Esse tipo de ataque é notável, pois aproveita a infraestrutura descentralizada e imutável do blockchain para dificultar a interrupção da comunicação entre o malware e o servidor C2.
Segundo relatórios da Checkmarx, Phylum e Socket, a campanha, identificada inicialmente em 31 de outubro de 2024, já estava ativa há pelo menos uma semana. Foram detectados 287 pacotes typosquat no repositório npm, especialmente voltados para desenvolvedores que utilizam bibliotecas como Puppeteer e Bignum.js, além de outras relacionadas a criptomoedas. Esses pacotes maliciosos contêm JavaScript ofuscado, que ativa um binário de segundo estágio após a instalação, estabelecendo persistência e enviando dados sensíveis ao servidor de C2.
O método de controle por meio de contratos inteligentes Ethereum representa um avanço para os atacantes. Usando a biblioteca ethers.js, o malware interage com o blockchain para recuperar o endereço IP atualizado do servidor, o que permite ao agente da ameaça mudar de endereço à medida que os anteriores são bloqueados, mantendo o acesso ao C2 de maneira contínua. Isso dificulta o bloqueio da infraestrutura pelos mecanismos tradicionais de defesa.
Esse uso de blockchain em ataques de malware não é inédito, mas traz uma camada adicional de complexidade e resiliência. A campanha é similar à EtherHiding, que usou contratos da Binance Smart Chain (BSC) para objetivos similares. A natureza imutável e descentralizada do blockchain faz com que a infraestrutura de C2 se torne quase indestrutível, criando desafios maiores para as equipes de segurança.
A autoria do ataque ainda é incerta, mas a equipe de pesquisa da Socket encontrou mensagens de erro em russo nos pacotes, sugerindo que o responsável possa ser um falante de russo. Esse tipo de ameaça reforça a importância de precaução ao baixar pacotes de código aberto, pois o ecossistema npm continua vulnerável a ataques de envenenamento na cadeia de suprimentos. A utilização de tecnologia blockchain para o controle de infraestrutura C2 é uma inovação que requer novas abordagens de segurança e vigilância mais rigorosa dos desenvolvedores.