Subdolo Malware Npm Crea Backdoor in Popolare Libreria Ethereum

Image by AltumCode, from Unsplash

Subdolo Malware Npm Crea Backdoor in Popolare Libreria Ethereum

Tempo di lettura: 2 Min.

Inserito il Mar 30, 2025

I ricercatori di sicurezza di ReversingLabs hanno scoperto una sofisticata campagna di malware che prende di mira il repository del pacchetto npm.

Di fretta? Ecco i fatti principali:

  • I pacchetti npm maligni ethers-provider2 ed ethers-providerz creano un backdoor nei sistemi infettati.
  • Il malware utilizza attacchi multi-fase, modificando ethers per incorporare un reverse shell nascosto.
  • Gli aggressori mantengono la persistenza creando loader.js, garantendo l’infezione anche dopo la rimozione del pacchetto.

I pacchetti malevoli, ethers-provider2 ed ethers-providerz, modificano in segreto un pacchetto npm ampiamente utilizzato, ethers, per creare un backdoor nei sistemi infetti. Il malware si distingue dal malware npm standard perché utilizza attacchi multi-fase complessi per funzionare.

Questi pacchetti si presentano come veri strumenti duplicando il pacchetto SSH2, che ha ricevuto oltre 350 milioni di download, come notato dai ricercatori. Il malware si installa rubando un codice più dannoso, che trasforma gli ether per incorporare una funzione di shell inversa nascosta per l’accesso remoto degli hacker.

ReversingLabs ha rilevato la minaccia utilizzando la sua piattaforma Spectra. Il processo di infezione inizia quando viene installato ethers-provider2. Lo script scaricato esegue un file di malware di seconda fase che si autodistrugge dopo l’esecuzione per prevenire il rilevamento.

Il malware controlla la presenza di ethers fino a quando non rileva il pacchetto, quindi sostituisce provider-jsonrpc.js con una versione falsa che contiene codice maligno nascosto.

L’attacco non si ferma qui. Il malware crea un altro file chiamato loader.js che mantiene l’infezione attiva dopo la rimozione di ethers-provider2.

Gli aggressori stabiliscono una connessione a shell inversa durante la terza fase del loro attacco, che consente agli hacker di eseguire comandi a distanza tramite client SSH compromessi. ReversingLabs ha descritto questo approccio come prova delle avanzate capacità dell’attore della minaccia che richiede un’ulteriore indagine.

I ricercatori hanno identificato ethers-providerz come una potenziale versione di test perché la sua codifica conteneva diversi errori, ma seguiva lo stesso schema del primo pacchetto malevolo.

Gli esperti di sicurezza hanno scoperto che ethers-provider2 rimaneva accessibile su npm al momento della segnalazione, nonostante ethers-providerz fosse stato eliminato.

Secondo gli esperti di sicurezza, gli sviluppatori devono controllare i loro sistemi per segni di infezione, utilizzando esclusivamente pacchetti npm di fiducia.

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
0 Votato da 0 utenti
Titolo
Commento
Grazie per la tua opinione!
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Lascia un commento

Loader
Loader Mostra di più...