Зловредные пакеты npm используют хитроумные лазейки для атаки на пользователей

Исследователи безопасности из Reversing Labs обнаружили два вредоносных пакета на npm. Эти пакеты служат загрузчиками и направлены на разработчиков программного обеспечения, работающих над блокчейном Ethereum. Вредное ПО открывает обратный канал связи (reverse shell) и предоставляет злоумышленникам доступ к целевым компьютерам.

Два вредоносных пакета были недавно обнаружены на репозитории npm с использованием сомнительных бэкдоров для атаки на своих пользователей. Исследователи безопасности из Reversing Labs обнаружили два пакета, загруженных на популярный репозиторий в начале марта 2025 года, названные «ethers-provider2» и «ethers-providerz». Названия были тщательно подобраны, чтобы обмануть жертв, заставив их думать, что они имеют отношение к легитимному пакету под названием «ethers».

Пакет ethers на npm - это библиотека JavaScript для взаимодействия с блокчейном Ethereum. Она позволяет разработчикам отправлять транзакции, развертывать смарт-контракты и читать данные блокчейна. Пакет предоставляет простой и безопасный API для работы с кошельками Ethereum, смарт-контрактами и децентрализованными приложениями (dApps).

Поддельные обновления

Два вредоносных пакета служили загрузчиками, «обновляя» легитимный пакет и делая его неработоспособным. «Это были простые загрузчики, злонамеренный груз которых был хитрым образом скрыт, со вторым этапом, который "патчит" легитимный пакет npm ethers, установленный локально, новым файлом, содержащим вредоносный груз», - объяснили исследователи. «Этот откорректированный файл в конечном итоге служит обратной оболочкой».

С помощью обратного канала связи злоумышленники заставляют компьютер жертвы инициировать соединение обратно на машину хакера, что позволяет им выполнять команды, красть данные или устанавливать вредоносное ПО, при этом успешно обходя межсетевые экраны и аналогичные меры безопасности.

Для исследователей из Reversing Labs подход «чрезвычайно изощренный». Поскольку вредоносное ПО нацелено на пакет ethers, можно предположить, что жертвами являются разработчики блокчейна, работающие на платформе Ethereum. А поскольку вредоносное ПО может действовать как вор-информатор, можно также предположить, что злоумышленники стремятся к криптовалютам людей.

Как и обычно, лучший способ смягчить угрозу и защититься от этих атак - быть предельно осторожными при загрузке пакетов с открытым исходным кодом.