据 ReversingLabs 研究人员披露，7 月发布的 NPM 包 “colortoolsv 2” 和 “mimelib 2” 利用以太坊智能合约隐藏恶意 URL，避免安全扫描。这些软件包作为下载器运行，从智能合约中获取命令与控制服务器地址，再下载二阶段恶意软件，使区块链流量看似合法，从而加大检测难度。

研究指出，这是首次发现以太坊智能合约被用于托管恶意命令 URL，显示攻击者在开源仓库中规避检测的策略正快速演化。