恶意 npm 包伪装成以太坊智能合约虫子检测工具

关键要点

近日，发布的博文揭露了一个恶意 npm 包的存在。该包伪装成用于检测以太坊智能合约的工具，实际上却悄悄地在开发者的 Windows 系统上部署
Quasar RAT，该恶意软件从远程服务器获取脚本并进行执行。

自 2014 年 7 月以来，Quasar RAT 在网络犯罪和 APT运动中广泛传播。研究人员表示，它不仅可以实现远程访问，还具备强大的功能组合，包括键盘记录、屏幕截取、凭证收集和文件窃取等能力。这些功能为攻击者提供了强有力的数据盗取手段，严重威胁到用户的隐私与财务安全。

研究人员指出：“对于个人开发者和大型组织来说，Quasar RAT在受信环境中的存在可能具有灾难性的后果。”以太坊开发者尤其面临着暴露与财务资产相关的私钥和凭证的风险。

Jason Soroko，Sectigo的高级研究员，解释道，以太坊智能合约是运行在区块链上的自执行代码，是许多去中心化商业应用的基础。攻击者通过针对密切从事智能合约的开发者，可以暗中监控敏感项目，盗取信息，甚至可能削弱去中心化系统的安全性。

Soroko 还补充指出：“安全团队必须验证来自未验证来源的代码，监控注册表变化，并留意异常网络连接，以降低这些威胁的风险。”

Keeper Security 的安全与架构副总裁 Patrick Tiquet也对这一事件表示关注，认为这属于供应链攻击，因为它利用了组织所依赖的依赖项中的漏洞。他指出：“这一攻击目标是上游工具，进而影响下游受害者，凸显网络犯罪分子利用第三方资源信任的复杂战术。”

Tiquet 强调：“通过将 Quasar RAT木马注入一个看似合法的用于检测漏洞的专用包，威胁行为者轻松进入组织的网络。”为应对这种类型的威胁，组织必须实施强大的权限访问控制与密钥管理，以保护 API密钥等敏感凭证。