软件供应链攻击已在近年成为不可忽视的威胁，Checkmarx资安研究团队最近发现了一种新类型，将区块链技术用于软件供应链的新形态攻击方法。该攻击使用以太坊（Ethereum）区块链智能合约作为指挥与控制（C2）服务器的中介，通过NPM套件传播跨平台恶意软件。这种使用区块链的攻击手段，不仅提升了攻击的隐蔽性，也使攻击架构更难被阻断，成为软件供应链的新威胁。

该攻击行动通过NPM生态系中的仿冒套件jest-fet-mock启动，该套件伪装成为合法的JavaScript测试工具。攻击者利用Typosquatting技术仅修改fetch单字拼法，在NPM中发布仿冒套件，而该套件在安装过程会运行预安装脚本以自动加载恶意代码，并进行下一步攻击进程。

不仅针对Windows平台，该攻击同时也影响Linux与macOS开发环境。研究人员指出，这种跨平台攻击策略可对各种操作系统的开发基础设施产生影响，而且因为开发人员通常拥有更高的系统权限，开发套件也会集成至CI/CD工作管线，因此对开发环境和建置系统带来高安全性风险。

而之所以这个攻击值得注意，其最大的特点在于智能合约的使用方式，攻击者在Ethereum上部署了一个智能合约，存储指挥与控制服务器的地址，并通过公开交易查找的形式，让受感染的系统自动获取最新的指挥与控制服务器地址。

这样的设计存在两大优势，第一是利用区块链的不可更改特性，使攻击架构更加稳定难以移除，第二则是通过更新智能合约的方式，攻击者便能够更换服务器地址，使攻击能够持续进行，并且绕过传统的防护措施。

研究团队认为这种攻击方式，突破了传统软件供应链的框架。过去攻击者通常直接将指挥与控制服务器的地址嵌入到恶意软件中，而只要服务器遭到封锁攻击便会终止，但是通过智能合约的分布式架构，攻击者可即时更新攻击指令，恶意软件就可持续发挥作用，难以轻易移除。

其他资安公司Phylum与Socket也发现链接至同一个攻击行动的其他NPM套件。Checkmarx研究人员判断这是一个持续进行中的攻击活动。要防止受到这类型的软件供应链攻击，研究人员建议开发者在引入外部套件时，应该仔细确认真实性与来源，并谨慎评估安全风险。