Cybersecurity-onderzoekers hebben twee kwaadaardige pakketten op het NPM-register ontdekt die zijn ontworpen om een ander lokaal geïnstalleerd pakket te infecteren, waardoor de voortdurende evolutie van software-supply chain-aanvallen gericht op het open-source ecosysteem onderstreept.
De pakketten in kwestie zijn Ethers-Provider2 en Ethers-Providerz, met de eerste tot nu toe 73 keer gedownload sinds het werd gepubliceerd op 15 maart 2025. Het tweede pakket, waarschijnlijk verwijderd door de malware-auteur zelf, heeft geen downloads aangetrokken.
“Ze waren eenvoudige downloaders wiens kwaadaardige lading slim was verborgen,” zei Reversinglabs -onderzoeker Lucija Valentić in een rapport dat werd gedeeld met het Hacker News.
“Het interessante deel lag in hun tweede fase, dat de legitieme NPM -pakketethers zou ‘patchen’, lokaal geïnstalleerd, met een nieuw bestand met de kwaadaardige lading. Dat gepatchte bestand zou uiteindelijk een omgekeerde shell bedienen.”
De ontwikkeling markeert een nieuwe escalatie van de tactiek van dreigingsacteurs, omdat het verwijderen van de malafide pakketten niet -aangetaste machines van de kwaadaardige functionaliteit niet bevrijdt, omdat de veranderingen zich in de populaire bibliotheek bevinden. Bovendien, als een nietsvermoedende gebruiker het etherspakket verwijdert wanneer Ethers-Provider2 op het systeem blijft, riskeert het herinfectie wanneer het pakket op een later tijdstip opnieuw wordt geïnstalleerd.
De analyse van Reversinglabs van Ethers-Provider2 heeft onthuld dat het niets anders is dan een Trojanized-versie van het veelgebruikte SSH2 NPM-pakket dat een kwaadaardige payload bevat binnen installatie.js om een tweede fase malware op te halen uit een externe server (“5.199.166 (.) 1: 31337/Installatie”), schrijf het naar een tijdelijk bestand en runt het.
Onmiddellijk na uitvoering wordt het tijdelijke bestand uit het systeem verwijderd in een poging om sporen te voorkomen. De payload op de tweede fase, van zijn kant, start een oneindige lus om te controleren of het NPM-pakket ethers lokaal is geïnstalleerd.
In het geval dat het pakket al aanwezig is of het vers wordt geïnstalleerd, komt het in actie door een van de bestanden met de naam “Provider-jsonRPC.js” te vervangen door een namaakversie die in extra code inpakt om een derde fase van dezelfde server op te halen en uit te voeren. De nieuw gedownloade payloadfuncties als een omgekeerde shell om verbinding te maken met de server van de dreigingsacteur via SSH.
“Dat betekent dat de met deze client geopende verbinding in een omgekeerde shell verandert zodra deze een aangepast bericht van de server ontvangt,” zei Valentić. “Zelfs als de pakket Ethers-Provider2 uit een gecompromitteerd systeem wordt verwijderd, zal de klant nog steeds onder bepaalde omstandigheden worden gebruikt, wat een zekere mate van persistentie biedt voor de aanvallers.”
Het is vermeldenswaard in dit stadium dat het officiële etherspakket op het NPM -register niet is aangetast, omdat de kwaadaardige wijzigingen lokaal worden aangebracht na de installatie.
Het tweede pakket, Ethers-Providerz, gedraagt zich ook op een vergelijkbare manier omdat het probeert bestanden te wijzigen die zijn gekoppeld aan een lokaal geïnstalleerd NPM-pakket genaamd “@EthersProject/Providers.” Het exacte NPM -pakket dat door de bibliotheek is gericht, is niet bekend, hoewel de referenties van de broncode aangeven dat het loader.js had kunnen zijn.
De bevindingen dienen om de nieuwe manieren te benadrukken waarop dreigingsacteurs malware bedienen en aanhouden in ontwikkelaarssystemen, waardoor het essentieel is dat pakketten van open-source repositories zorgvuldig worden onderzocht voordat ze downloaden en gebruiken.
“Ondanks de lage downloadnummers zijn deze pakketten krachtig en kwaadaardig,” zei Valentić. “Als hun missie succesvol is, zullen ze de lokaal geïnstalleerde pakketethers corrumperen en doorzettingsvermogen op gecompromitteerde systemen behouden, zelfs als dat pakket wordt verwijderd.”
