Pacotes npm maliciosos exploram contratos inteligentes Ethereum para atacar desenvolvedores de criptomoedas

Pesquisadores de segurança cibernética descobriram dois pacotes maliciosos no registro npm que utilizam contratos inteligentes da blockchain Ethereum para realizar ações maliciosas em sistemas comprometidos. Os pacotes colortoolsv2 e mimelib2, enviados em julho de 2025, já não estão disponíveis para download.

Estes pacotes fazem parte de uma campanha sofisticada que atinge npm e GitHub, enganando desenvolvedores para baixar e executar código malicioso. A técnica utiliza contratos Ethereum para ocultar URLs que hospedam payloads maliciosos, método semelhante ao conhecido "EtherHiding".

As investigações revelaram que os pacotes estão vinculados a uma rede de repositórios GitHub fraudulentos que se apresentam como bots de trading de criptomoedas, sugerindo que desenvolvedores e usuários de criptomoedas são os principais alvos. A campanha está associada ao serviço de distribuição "Stargazers Ghost Network", conhecido por inflar artificialmente a popularidade de repositórios maliciosos.

Especialistas alertam que é crucial que desenvolvedores avaliem minuciosamente cada biblioteca antes de implementá-la, verificando não apenas números de downloads, mas também a credibilidade dos mantenedores e do código fonte.