Theo báo cáo mới, hai gói NPM “colortoolsv2” và “mimelib2” được tung lên vào tháng 7 đã khai thác smart contract Ethereum để che giấu lệnh độc hại. Khi người dùng cài đặt, chúng truy vấn blockchain để lấy địa chỉ máy chủ điều khiển, sau đó tải mã độc giai đoạn hai về máy nạn nhân.
Phương thức này khiến lưu lượng truy cập trông hợp pháp, khó bị hệ thống bảo mật phát hiện. Đây là bước tiến mới so với các vụ tấn công trước, khi hacker chỉ lợi dụng smart contract để ẩn dữ liệu cơ bản.
Hai gói độc hại trên là một phần của chiến dịch lừa đảo quy mô lớn trên GitHub, với repo giả mạo bot giao dịch crypto, commit và tài khoản giả để tạo cảm giác uy tín. Giới chuyên gia cảnh báo đây là dấu hiệu hacker đang kết hợp blockchain và kỹ thuật social engineering để vượt qua công cụ quét truyền thống, đặt ra thách thức mới cho cộng đồng lập trình viên và người dùng crypto.
