Недавно обнаружены два вредоносных npm пакета — ethers-provider2 и ethers-providerz, цель которых заключается в локальной модификации легитимного пакета ethers для организации обратных оболочек. Пакет ethers-provider2 был опубликован 15 марта 2025 года и загружен 73 раза, в то время как ethers-providerz, вероятно, был удалён автором и не получил ни одной загрузки.
Пакет ethers-provider2 представляет собой троянскую версию популярного пакета ssh2, в файле install.js которого скрыт вредоносный код. При установке он устанавливает соединение с удалённым сервером по адресу 5.199.166[.]1:31337/install с целью получения второго этапа заражения.
Полученный второй этап запускает бесконечный цикл, постоянно проверяя наличие локально установленного пакета ethers. При обнаружении установленного или переустановленного ethers происходит замена файла provider-jsonrpc.js на поддельную версию, содержащую код для загрузки следующего вредоносного модуля.
Третий этап превращает заражённую систему в источник обратной оболочки. Загрузившийся модуль устанавливает обратное SSH-соединение с сервером злоумышленника, что обеспечивает удалённый доступ к системе. «Это означает, что соединение, установленное с этим клиентом, превращается в обратную оболочку, как только оно получает специальное сообщение от сервера», – говорится в докладе специалиста Лукии Валентиć из ReversingLabs.
Даже после удаления ethers-provider2 модификации остаются в локальной установке пакета ethers, что создаёт риск повторного заражения при переустановке последнего, если вредоносный пакет остаётся в системе.
Пакет ethers-providerz применяет аналогичные методы, пытаясь изменить файлы другого npm пакета, вероятно, файл loader.js, хотя конкретная цель атаки остаётся неустановленной, а его загрузки отсутствуют.
По словам Лукии Валентиć, «Они были простыми загрузчиками, чей вредоносный код был хитро спрятан», и «Несмотря на низкий уровень загрузок, эти пакеты мощные и вредоносные. Если их миссия успешно завершится, они повредят локально установленный пакет ethers и сохранят свою активность на заражённых системах даже в случае его удаления».
Повышенное внимание при скачивании пакетов из репозиториев с открытым исходным кодом, тщательная проверка содержимого и осведомлённость о современных методах атак в цепочках поставок программного обеспечения остаются важнейшими мерами для минимизации рисков подобных угроз.
Изображение носит иллюстративный характер
Пакет ethers-provider2 представляет собой троянскую версию популярного пакета ssh2, в файле install.js которого скрыт вредоносный код. При установке он устанавливает соединение с удалённым сервером по адресу 5.199.166[.]1:31337/install с целью получения второго этапа заражения.
Полученный второй этап запускает бесконечный цикл, постоянно проверяя наличие локально установленного пакета ethers. При обнаружении установленного или переустановленного ethers происходит замена файла provider-jsonrpc.js на поддельную версию, содержащую код для загрузки следующего вредоносного модуля.
Третий этап превращает заражённую систему в источник обратной оболочки. Загрузившийся модуль устанавливает обратное SSH-соединение с сервером злоумышленника, что обеспечивает удалённый доступ к системе. «Это означает, что соединение, установленное с этим клиентом, превращается в обратную оболочку, как только оно получает специальное сообщение от сервера», – говорится в докладе специалиста Лукии Валентиć из ReversingLabs.
Даже после удаления ethers-provider2 модификации остаются в локальной установке пакета ethers, что создаёт риск повторного заражения при переустановке последнего, если вредоносный пакет остаётся в системе.
Пакет ethers-providerz применяет аналогичные методы, пытаясь изменить файлы другого npm пакета, вероятно, файл loader.js, хотя конкретная цель атаки остаётся неустановленной, а его загрузки отсутствуют.
По словам Лукии Валентиć, «Они были простыми загрузчиками, чей вредоносный код был хитро спрятан», и «Несмотря на низкий уровень загрузок, эти пакеты мощные и вредоносные. Если их миссия успешно завершится, они повредят локально установленный пакет ethers и сохранят свою активность на заражённых системах даже в случае его удаления».
Повышенное внимание при скачивании пакетов из репозиториев с открытым исходным кодом, тщательная проверка содержимого и осведомлённость о современных методах атак в цепочках поставок программного обеспечения остаются важнейшими мерами для минимизации рисков подобных угроз.
