Хакеры маскируют вредоносный код в смарт-контрактах Ethereum

Угроза цепочке поставок ПО

Мир кибербезопасности развивается не менее стремительно, чем технологии, которые он призван защищать. В последние годы особое внимание экспертов приковано к угрозам, связанным с цепочкой поставок программного обеспечения. Это логично: чем шире распространяется open‑source и чем активнее компании полагаются на сторонние библиотеки и пакеты, тем больше лазеек получают злоумышленники. Осенью 2025 года специалисты зафиксировали новый тревожный прецедент: хакеры стали использовать смарт‑контракты Ethereum для распространения и маскировки вредоносных программ. Этот случай показывает, что границы между финансовыми технологиями и киберугрозами стираются, а киберпреступники всё чаще прибегают к методам Web3, чтобы оставаться незаметными.

Как работает атака

Суть новой схемы заключается в том, что вредоносный код не хранится напрямую в библиотеке или пакете, а передаётся через смарт‑контракт Ethereum. При загрузке скомпрометированного npm‑пакета исполняемый файл обращается к контракту в блокчейне и получает оттуда инструкции. Это делает атаку куда более сложной для обнаружения: традиционные антивирусные системы и системы мониторинга кода не могут просто «увидеть» вредоносный URL в исходниках, ведь он скрыт за транзакцией в блокчейне.

Разработчики, скачивавшие такие библиотеки, видели на первый взгляд обычный инструмент, но вместе с ним в систему попадал скрытый компонент. Он загружал дополнительное ПО или команды уже после установки. Таким образом, контроль над заражённой системой оставался у хакеров, при этом компрометация выглядела как нормальное взаимодействие с публичной сетью Ethereum.

Новизна подхода

Использование смарт‑контрактов в качестве канала управления вредоносным ПО — это качественный скачок в развитии тактики атак на цепочку поставок. Ранее злоумышленники чаще применяли доверенные сервисы вроде GitHub Gist, Google Docs или облачные хранилища для маскировки командных серверов. Теперь же они обратились к децентрализованным технологиям, где невозможно удалить или изменить контракт по требованию. Это значит, что вредоносные инструкции могут существовать в блокчейне годами, оставаясь доступными для повторного использования.

Пример атаки через npm

Для распространения вредоносного кода использовались npm‑пакеты с безобидными названиями. Они состояли из нескольких файлов, основной из которых подключался к смарт‑контракту Ethereum и получал оттуда ссылки на дальнейшие загрузки. Этот метод позволял скрыть вредоносный код от статического анализа и обойти многие системы безопасности.

Особенность npm и других менеджеров пакетов заключается в том, что ими ежедневно пользуются миллионы разработчиков по всему миру. Даже если вредоносный пакет скачает небольшая часть аудитории, масштабы заражения могут оказаться огромными. Именно поэтому такие атаки особенно опасны: они могут ударить сразу по множеству компаний и проектов.

Масштаб кампании

Расследование показало, что вредоносные пакеты распространялись через фиктивные репозитории на GitHub. Злоумышленники создавали проекты с названиями, отсылающими к популярным тематикам, например торговым ботам для криптовалют. Чтобы создать видимость доверия, они накручивали звёзды, добавляли сотни фальшивых коммитов и активных наблюдателей. В результате у разработчиков возникало впечатление, что проект живой и активно развивается, а значит, заслуживает доверия.

Такая социальная инженерия в сочетании с технической изощрённостью делает атаку особенно убедительной. Разработчики, не подозревая подвоха, устанавливали зависимости и тем самым открывали злоумышленникам двери в свои системы.

Угроза для цепочки поставок

Атаки на цепочку поставок ПО становятся всё более серьёзной проблемой для индустрии. В отличие от прямых атак на инфраструктуру, они бьют по самому фундаменту разработки. Если разработчик использует заражённую библиотеку, вредоносный код может попасть в десятки или сотни конечных продуктов. Эти продукты затем распространяются дальше — и таким образом заражение приобретает лавинообразный характер.

Пример с использованием смарт‑контрактов Ethereum лишь усиливает тревогу. Децентрализованная природа блокчейна делает его удобным инструментом для скрытой передачи команд. Это не только усложняет обнаружение атаки, но и создаёт новые вызовы для правоохранительных органов и специалистов по кибербезопасности.

Почему именно Ethereum

Ethereum выбран злоумышленниками неслучайно. Это крупнейшая платформа для смарт‑контрактов с широкой экосистемой и высокой доступностью. Контракты в ней децентрализованы, их нельзя удалить или изменить без согласия сети. Для киберпреступников это идеальный способ хранить инструкции: они не боятся блокировок, а пользователи могут получать доступ к данным напрямую через публичные узлы.

Кроме того, использование Ethereum придаёт атаке легитимность. Обращение к блокчейну выглядит естественным действием, особенно если речь идёт о проекте, связанном с криптовалютами или децентрализованными приложениями. Таким образом, подозрения у аудитории практически не возникают.

Риски для бизнеса и разработчиков

Для компаний такие атаки могут обернуться масштабными потерями. Если вредоносный код попадёт в корпоративные продукты, это может привести к утечке данных клиентов, компрометации финансовой информации или даже саботажу бизнес‑процессов. Репутационные риски не менее серьёзны: пользователи теряют доверие к продуктам, в которые встроен заражённый компонент.

Для отдельных разработчиков риск заключается в том, что они могут невольно стать проводником атаки. Используя заражённые пакеты, они включают вредоносный код в свои проекты и распространяют его дальше. При этом ответственность за последствия может лечь и на них, даже если они сами не имели злого умысла.

Рекомендации по защите

Чтобы снизить риски, компании и разработчики должны пересмотреть свои практики работы с зависимостями и внедрить более строгие меры контроля:

1. Использование lock‑файлов. Фиксация версий пакетов помогает избежать незаметного обновления до заражённой версии.
2. Проверка хэшей. Сравнение хэшей загружаемых файлов с эталонными позволяет выявлять подмены.
3. Регулярный аудит зависимостей. Автоматизированные инструменты анализа помогут обнаружить подозрительные библиотеки.
4. Мониторинг поведения. Даже если вредонос не виден в коде, его можно заметить по аномальной сетевой активности.
5. Ограничение прав. Библиотеки не должны иметь доступа к функциям системы, которые им не нужны.

Будущее атак на цепочку поставок

Случай с использованием смарт‑контрактов Ethereum — лишь начало новой тенденции. Можно предположить, что в будущем злоумышленники будут применять и другие технологии Web3 для маскировки атак. Например, использовать децентрализованные хранилища (IPFS, Arweave) для размещения вредоносного кода или внедрять инструкции прямо в NFT‑метаданные.

Это требует от индустрии принципиально новых подходов к защите. Уже недостаточно проверять код на наличие подозрительных строк — нужно анализировать всю экосистему, включая блокчейн‑взаимодействия. Без этого компании рискуют оказаться в ситуации, когда вредоносная нагрузка приходит из самого ядра децентрализованных технологий.

Заключение

История с использованием смарт‑контрактов Ethereum для распространения вредоносного кода стала важным сигналом для всей отрасли. Она показала, что киберпреступники не стоят на месте, а быстро адаптируются к новым технологиям. Чем быстрее развивается блокчейн, тем быстрее он превращается не только в инструмент инноваций, но и в поле для кибератак.

Компании и разработчики должны быть готовы к тому, что атаки на цепочку поставок будут становиться всё сложнее и изощрённее. Необходимо внедрять многоуровневую защиту, усиливать контроль над зависимостями и обучать команды принципам безопасной разработки. Только так можно снизить риски и сохранить доверие пользователей