Sekretne Malware Npm Tworzy Furtki w Popularnej Bibliotece Ethereum

Image by AltumCode, from Unsplash

Sekretne Malware Npm Tworzy Furtki w Popularnej Bibliotece Ethereum

Przeczytasz w: 2 min

Data publikacji: Kwi 1, 2025

Badacze bezpieczeństwa z ReversingLabs odkryli zaawansowaną kampanię malware, która ma na celu repozytorium pakietów npm.

W pośpiechu? Oto najważniejsze fakty:

  • Złośliwe pakiety npm ethers-provider2 i ethers-providerz tworzą tylną furtkę w zainfekowanych systemach.
  • Malware korzysta z ataków wieloetapowych, modyfikując ethers, aby osadzić ukryte odwrotne powłoce.
  • Atakujący utrzymują trwałość, tworząc loader.js, co zapewnia zakażenie nawet po usunięciu pakietu.

Złośliwe pakiety, ethers-provider2 i ethers-providerz, tajemniczo modyfikują powszechnie używany pakiet npm, ethers, tworząc tylną furtkę w zainfekowanych systemach. Oprogramowanie szkodliwe różni się od standardowego npm malware, ponieważ wykorzystuje skomplikowane ataki wieloetapowe do funkcjonowania.

Te pakiety udają prawdziwe narzędzia, kopiując pakiet SSH2, który zdobył ponad 350 milionów pobrań, jak zauważyli badacze. Malware instaluje się, kradnąc bardziej szkodliwy kod, który przekształca eithery w celu wbudowania ukrytej funkcji odwrotnej powłoki umożliwiającej zdalny dostęp hakerów.

ReversingLabs wykryło zagrożenie za pomocą swojej platformy Spectra. Proces infekcji zaczyna się, gdy instalowany jest ethers-provider2. Pobrany skrypt wykonuje plik drugiego etapu malware, który sam się usuwa po wykonaniu, aby zapobiec wykryciu.

Oprogramowanie szkodliwe sprawdza obecność eterów, aż wykryje pakiet, a następnie zamienia provider-jsonrpc.js na fałszywą wersję zawierającą ukryty złośliwy kod.

Atak na tym się nie kończy. Malware tworzy kolejny plik o nazwie loader.js, który utrzymuje infekcję aktywną nawet po usunięciu ethers-provider2.

Napastnicy nawiązują połączenie odwrotnego powłoki w trzeciej fazie swojego ataku, co umożliwia hakerom wykonywanie poleceń zdalnie poprzez skompromitowane klienty SSH. ReversingLabs opisało to podejście jako dowód zaawansowanych możliwości aktorów zagrożeń, co wymaga dodatkowego śledztwa.

Badacze zidentyfikowali ethers-providerz jako potencjalną wersję testową, ponieważ jej kodowanie zawierało wiele błędów, ale podążało tym samym wzorem co pierwszy złośliwy pakiet.

Eksperci ds. bezpieczeństwa odkryli, że ethers-provider2 pozostawał dostępny na npm w momencie zgłaszania, mimo że ethers-providerz został wyeliminowany.

Zgodnie z zaleceniami ekspertów ds. bezpieczeństwa, deweloperzy muszą sprawdzić swoje systemy pod kątem oznak infekcji, równocześnie korzystając wyłącznie z zaufanych pakietów npm.

Spodobał Ci się ten artykuł? Oceń go!
Był okropny Nie podobał mi się Był w porządku Był całkiem dobry! Był super!

Cieszymy się, że doceniasz to, co robimy!

Cenimy Twoją opinię. Czy możemy liczyć na ocenę na Trustpilot? Zajmie Ci to tylko chwilę. Będziemy zobowiązani. Dziękujemy za wsparcie!

Oceń nas na Trustpilot
0 Na podstawie głosów 0 użytkowników
Tytuł
Komentarz
Dziękujemy za Twoją opinię
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Zostaw komentarz

Loader
Loader Pokaż więcej...