ReversingLabs于9月4日披露的报告显示，黑客正通过以太坊智能合约隐蔽存储npm包的恶意指令。两款名为"colortoolsv2"和"mimelib2"的恶意包自7月现身以来，采用动态查询链上合约的方式获取攻击指令，相较传统硬编码链接模式显著提升了检测与清除难度。攻击者同步构建虚假加密货币主题GitHub仓库，利用伪造星标数及自动化提交记录制造可信假象，以此诱导开发者将恶意依赖项纳入代码库。