Malware Furtivo Npm Cria Portas Secretas em Biblioteca Popular do Ethereum

Image by AltumCode, from Unsplash

Malware Furtivo Npm Cria Portas Secretas em Biblioteca Popular do Ethereum

Tempo de leitura: 2 minuto

Postado em Mar 31, 2025

Pesquisadores de segurança na ReversingLabs descobriram uma campanha de malware sofisticada visando o repositório de pacotes npm.

Com pressa? Aqui estão os fatos rápidos:

  • Pacotes npm maliciosos ethers-provider2 e ethers-providerz criam uma porta dos fundos em sistemas infectados.
  • O malware usa ataques em várias etapas, modificando ethers para incorporar um shell reverso oculto.
  • Os invasores mantêm a persistência criando loader.js, garantindo a infecção mesmo após a remoção do pacote.

Os pacotes maliciosos, ethers-provider2 e ethers-providerz, modificam secretamente um pacote npm amplamente usado, ethers, para criar uma porta dos fundos em sistemas infectados. O malware difere do malware npm padrão porque utiliza ataques multietapas complexos para funcionar.

Esses pacotes se apresentam como ferramentas reais, duplicando o pacote SSH2, que já recebeu mais de 350 milhões de downloads, conforme observado pelos pesquisadores. O malware se instala roubando um código mais prejudicial, que transforma ethers para incorporar um recurso de shell reverso oculto para acesso remoto de hackers.

A ReversingLabs detectou a ameaça usando sua plataforma Spectra. O processo de infecção começa quando o ethers-provider2 é instalado. O script baixado executa um arquivo de malware de segundo estágio que se auto-deleta após sua execução para evitar detecção.

O malware verifica a presença de ethers até detectar o pacote e então troca o provider-jsonrpc.js por uma versão falsa que contém código malicioso oculto.

O ataque não para por aí. O malware cria outro arquivo chamado loader.js que mantém a infecção ativa após a remoção do ethers-provider2.

Os atacantes estabelecem uma conexão reversa shell durante a terceira fase do seu ataque, o que permite aos hackers executar comandos remotamente através de clientes SSH comprometidos. A ReversingLabs descreveu esta abordagem como evidência das capacidades avançadas do ator da ameaça que requer investigação adicional.

Os pesquisadores identificaram o ethers-providerz como uma possível versão de teste, pois sua codificação continha vários erros, mas seguia o mesmo padrão que o primeiro pacote malicioso.

As especialistas em segurança descobriram que o ethers-provider2 continuava acessível no npm no momento da notificação, mesmo que o ethers-providerz tenha sido eliminado.

Os desenvolvedores precisam verificar seus sistemas quanto a sinais de infecção, enquanto usam exclusivamente pacotes npm confiáveis, de acordo com especialistas em segurança.

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Deixe um comentário

Loader
Loader Mostrar mais...