ReversingLabs的安全研究人員在周三告示，npm包存儲庫上發現了一個新的惡意軟件活動，揭示了一種感染開發人員系統的新方法。與典型的惡意軟件不同，這種攻擊不僅會傳遞惡意代碼，還會將其隱藏在用戶計算機上已安裝的合法軟件中。

該活動圍繞兩個包展開，即ethers-provider2和ethers-providerz，它們最初看起來是無害的下載者。然而，這些包悄悄地用惡意文件“修補”了一個名為ethers的流行npm包，ethers是一種廣泛使用的與以太坊區塊鏈交互的工具。這種經過修改的ethers版本隨后打開了一個后門，使攻擊者能夠遠程訪問受感染的系統。

使這種攻擊脫穎而出的是攻擊者隱藏其有效載荷的努力程度。ReversingLabs在發布之前與Hackread.com分享的分析顯示，該惡意軟件不遺余力地掩蓋其蹤跡，甚至刪除了感染過程中使用的臨時文件，這在典型的基于npm的惡意軟件中很少見。

研究人員在他們的博客文章中指出：“這些規避技術比我們以前在基于npm的下載器中觀察到的更徹底、更有效。”

即使刪除最初的惡意軟件包也不能保證安全，因為更改后的ethers軟件包如果重新安裝，可能會持續存在并重新感染自己。

該攻擊通過下載幾個階段的惡意軟件來實現。初始下載器抓取第二階段，然后檢查ethers包的存在。如果找到，它會用修改后的版本替換核心文件，下載并執行最后一個階段——一個允許攻擊者完全控制的反向shell。

雖然ethers providerz已從npm中刪除，但ethers-provider2在發布時仍然可用，并已向npm維護人員報告。研究人員還發現了與同一活動相關的其他包，如復制安全帽和@theological123/提供者，這兩個包現在都已被刪除。

ReversingLabs發布了一項YARA規則，以幫助開發人員檢測其本地安裝的ethers包是否已被泄露。

這一事件很好地提醒我們，npm上的惡意包仍然是一個大問題。盡管2024年惡意軟件數量略有下降，但攻擊者仍不斷想出新的伎倆來進入軟件供應鏈。開發人員需要保持謹慎，并使用強有力的安全措施來保護自己和項目的安全。

本公眾號所發布的文章皆源自于互聯網轉載或作者投稿并授予的原創作品，文章末尾有詳細出處標注，其內含內容及圖片之版權均屬于原網站或作者本人，本公眾號對此不持立場，若發現有非故意侵權或轉載失當之處，敬請隨時聯系我們進行妥善處理！文章來源：https://hackread.com/npm-malware-infects-ethereum-library-with-backdoor/

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明