Siber güvenlik araştırmacıları, NPM Kayıt Defteri’nde Ethereum Blockchain’in tehlikeye atılan sistemlerde kötü niyetli eylemler yürütmesi için akıllı sözleşmelerden yararlanan ve tehdit aktörlerinin radarın altında uçma ve uçuşun yeni yollarına sürekli olarak işaret eden iki yeni kötü amaçlı paket keşfettiler.
Hacker News ile paylaşılan bir raporda ReversingLabs araştırmacısı Lucija Valentić, “İki NPM Paketleri, indirici kötü amaçlı yazılımları yükleyen kötü amaçlı komutları gizlemek için akıllı sözleşmeleri kötüye kullandı.” Dedi.
Her ikisi de Temmuz 2025’te NPM’ye yüklenen hem de artık indirilemeyen paketler aşağıda listelenmiştir –
Yazılım tedarik zinciri güvenlik firması, kütüphanelerin hem NPM hem de GitHub’ı etkileyen daha büyük ve sofistike bir kampanyanın bir parçası olduğunu ve şüphesiz geliştiricileri indirmeye ve çalıştırmaya yönlendirdiğini söyledi.
Paketlerin kendileri kötü niyetli işlevlerini gizlemek için hiçbir çaba sarf etse de, tersine dönme tabanları, bu paketleri ithal eden GitHub projelerinin güvenilir görünmelerini sağlamak için acı çektiğini belirtti.
Paketlerin kendilerine gelince, her ikisi de kullanıldığında veya başka bir projeye dahil edildiğinde hain davranışlar, saldırgan kontrollü bir sunucudan bir sonraki aşama yük getirmesine ve çalıştırmasına neden olur.
Her ne kadar bu, kötü amaçlı yazılım indiricileri söz konusu olduğunda, birbirinden ayrıldığı, eterhiding’i anımsatan bir teknik olan yükü barındıran URL’leri sahnelemek için Ethereum akıllı sözleşmelerinin kullanılmasıdır. Vardiya, tehdit aktörlerinin tespitten kaçınmak için benimsediği yeni taktiklerin altını çiziyor.
Paketler hakkında daha fazla araştırma, bunların “otomatik olarak işlemleri yürütmek, size zaman ve çaba tasarrufu sağlamak için gerçek zamanlı zincirli verilerden yararlanan bir Solana ticaret bot-V2 olduğunu iddia eden bir GitHub depoları ağında atıfta bulunduklarını ortaya koydu. Depo ile ilişkili GitHub hesabı artık mevcut değil.
Bu hesapların, popülerliklerini yapay olarak şişirmek için kötü niyetli depolara yıldız, çatal, izlemek, taahhüt ettiği ve kötü niyetli depolara abone olduğu bilinen bir sahte Github hesapları kümesine atıfta bulunan Stargazers Ghost Network adlı bir hizmet olarak dağıtım (DAAS) teklifinin bir parçası olduğu değerlendirilmiştir.
Bu taahhütler arasında colortoolsv2’yi içe aktarmak için kaynak kodu değişiklikleri de dahildir. NPM paketini iterken yakalanan diğer depolardan bazıları Ethereum-Mev-Bot-V2, Arbitrage-Bot ve hiperliquid ticaret botudur.
Bu GitHub depolarının adlandırılması, kripto para birimi geliştiricilerinin ve kullanıcılarının, sosyal mühendislik ve aldatmacanın bir kombinasyonunu kullanarak kampanyanın birincil hedefi olduğunu göstermektedir.
Valentić, “Geliştiricilerin, geliştirme döngülerine dahil etmeye karar vermeden önce uygulamayı düşündükleri her kütüphaneyi değerlendirmeleri kritiktir.” Dedi. “Ve bu, hem açık kaynaklı paketlerde hem de bakım alanlarındaki kapakları geri çekmek anlamına gelir: belirli bir paketin – ve arkasındaki geliştiricilerin – kendilerine sundukları şey olup olmadığını değerlendirmek için ham sayıdaki bakım, taahhüt ve indirme.”