Image by AltumCode, from Unsplash
Тайный вредоносный код Npm создает заднюю дверь в популярной библиотеке Ethereum
Время для прочтения: 2 мин.
Опубликовано: Мар 31, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Исследователи в области безопасности из ReversingLabs обнаружили сложную кампанию распространения вредоносного ПО, нацеленную на репозиторий пакетов npm.
Спешите? Вот краткие факты:
- Вредоносные npm пакеты ethers-provider2 и ethers-providerz создают «заднюю дверь» в зараженных системах.
- Вредоносное ПО использует многоступенчатые атаки, модифицируя ethers для внедрения скрытого обратного shell.
- Атакующие обеспечивают постоянную активность, создавая loader.js, что гарантирует инфекцию даже после удаления пакета.
Злонамеренные пакеты, ethers-provider2 и ethers-providerz, тайно модифицируют широко используемый npm пакет, ethers, создавая заднюю дверь на зараженных системах. Этот вредоносный код отличается от стандартного npm вредоносного кода, поскольку он использует сложные многоступенчатые атаки для функционирования.
Эти пакеты маскируются под реальные инструменты, дублируя пакет SSH2, который, как отмечают исследователи, скачали более 350 миллионов раз. Вредоносное ПО устанавливается путем кражи более вредного кода, который преобразует эфиры для внедрения скрытой функции обратной оболочки для удаленного доступа хакера.
ReversingLabs обнаружила угрозу с помощью своей платформы Spectra. Процесс заражения начинается с установки ethers-provider2. Загруженный скрипт выполняет файл вредоносного ПО второго этапа, который самоудаляется после выполнения, чтобы предотвратить обнаружение.
Вредоносное ПО проверяет наличие ethers до тех пор, пока не обнаружит пакет, а затем заменяет provider-jsonrpc.js на поддельную версию, содержащую скрытый вредоносный код.
Но атака не останавливается на этом. Вредоносное ПО создает еще один файл под названием loader.js, который поддерживает инфекцию активной даже после удаления ethers-provider2.
Атакующие устанавливают обратное shell-соединение на третьем этапе своей атаки, что позволяет хакерам выполнять команды удаленно через скомпрометированные SSH-клиенты. ReversingLabs описали этот подход как доказательство способностей продвинутого актера угроз, что требует дополнительного расследования.
Исследователи определили ethers-providerz как потенциальную тестовую версию, поскольку ее кодировка содержала несколько ошибок, но она следовала тому же шаблону, что и первый вредоносный пакет.
Эксперты по безопасности обнаружили, что ethers-provider2 оставался доступным на npm в момент сообщения, хотя ethers-providerz был устранен.
Разработчикам необходимо проверять свои системы на признаки заражения, при этом используя исключительно доверенные пакеты npm, согласно рекомендациям экспертов по безопасности.
Предыдущая история
Последние статьи 
Оставьте комментарий
Отменить