Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El paquete NPM malicioso modifica la biblioteca local de ‘éteres’ para lanzar ataques de shell inverso
  • Tecnología

El paquete NPM malicioso modifica la biblioteca local de ‘éteres’ para lanzar ataques de shell inverso

teknomers 26 de Mart de 2025 (Last updated: 26 de Mart de 2025) 4 minutes read
El paquete NPM malicioso modifica la biblioteca local de 'éteres'


26 de marzo de 2025Ravie LakshmananAtaque de la cadena de suministro / malware

Los investigadores de ciberseguridad han descubierto dos paquetes maliciosos en el registro NPM que están diseñados para infectar otro paquete instalado localmente, subrayando la evolución continua de los ataques de la cadena de suministro de software dirigido al ecosistema de código abierto.

Los paquetes en cuestión son Esters-Provider2 y Esters-Providerzcon el primero descargado 73 veces hasta la fecha desde que era publicado el 15 de marzo de 2025. El segundo paquete, probablemente eliminado por el autor de malware, no atrajo ninguna descarga.

“Eran descargadores simples cuya carga útil maliciosa estaba inteligentemente escondida”, la investigadora de reversinglabs Lucija Valentić dicho En un informe compartido con The Hacker News.

Ciberseguridad

“La parte interesante estaba en su segunda etapa, que ‘parchearía’ el paquete legítimo de NPM éterinstalado localmente, con un nuevo archivo que contiene la carga útil maliciosa. Ese archivo parcheado finalmente serviría a un shell inverso “.

El desarrollo marca una nueva escalada de las tácticas de los actores de amenaza, ya que desinstalar los paquetes deshonestos no librará a las máquinas comprometidas de la funcionalidad maliciosa, ya que los cambios residen en la biblioteca popular. Además de eso, si un usuario desprevenido elimina el paquete Ethers cuando Ethers-Provider2 permanece en el sistema, corre el riesgo de reinfección cuando el paquete se instala nuevamente en un momento posterior.

El análisis de ReversingLabs de Ethers-Provider2 ha revelado que no es más que una versión troyana del amplio utilizado. ssh2 Paquete NPM que incluye una carga útil maliciosa dentro de Install.js para recuperar un malware de segunda etapa de un servidor remoto (“5.199.166[.]1: 31337/install “), escríbelo a un archivo temporal y ejecutarlo.

Inmediatamente después de la ejecución, el archivo temporal se elimina del sistema en un intento por evitar dejar cualquier rastro. La carga útil de la segunda etapa, por su parte, inicia un bucle infinito para verificar si el éter del paquete NPM se instala localmente.

Paquete de NPM malicioso

En el caso de que el paquete ya esté presente o se instale recién instalado, se pone en acción reemplazando uno de los archivos llamados “Provider-JsonRpc.js” con una versión falsificada que incluye un código adicional para obtener y ejecutar una tercera etapa del mismo servidor. La carga útil recientemente descargada funciona como un shell inverso para conectarse al servidor del actor de amenaza a través de SSH.

“Eso significa que la conexión abierta con este cliente se convierte en un shell inverso una vez que recibe un mensaje personalizado del servidor”, dijo Valentić. “Incluso si el paquete Ethers-Provider2 se elimina de un sistema comprometido, el cliente aún se utilizará bajo ciertas circunstancias, proporcionando cierto grado de persistencia para los atacantes”.

Vale la pena señalar en esta etapa que el paquete oficial de Ethers en el registro NPM no se ve comprometido, ya que las modificaciones maliciosas se realizan localmente después de la instalación.

Ciberseguridad

El segundo paquete, Ethers-Providerz, también se comporta de manera similar, ya que intenta alterar archivos asociados con un paquete NPM instalado localmente llamado “@Ethersproject/Providers”. Se desconoce el paquete NPM exacto dirigido por la biblioteca, aunque las referencias del código fuente indican que podría haber sido cargador.js.

Los hallazgos sirven para resaltar las nuevas formas en que los actores de amenaza están sirviendo y persistiendo malware en los sistemas de desarrolladores, lo que hace que sea esencial que los paquetes de repositorios de código abierto se analicen cuidadosamente antes de descargarlos y usarlos.

“A pesar de los bajos números de descarga, estos paquetes son potentes y maliciosos”, dijo Valentić. “Si su misión es exitosa, corromperán los éteres del paquete instalado localmente y mantendrán la persistencia en los sistemas comprometidos incluso si se elimina ese paquete”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Isabella (13) Falta, la familia está preocupada
Next: Smart Chatbot y pulsera contra el agotamiento: Ku Louven lanza un proyecto innovador

Related Stories

¿Esconde el Galaxy S26 a 1 € en Free Mobile
  • Tecnología

¿Esconde el Galaxy S26 a 1 € en Free Mobile una excelente oferta?

teknomers 5 de Temmuz de 2026
Seguridad, IA, soberanía: lo que más de 50 actores de
  • Tecnología

Seguridad, IA, soberanía: lo que más de 50 actores de la tecnología nos han revelado sobre el futuro de Europa

teknomers 5 de Temmuz de 2026
Variedad en Nova Lake-S: Intel propondría chips de 22, 24
  • Tecnología

Variedad en Nova Lake-S: Intel propondría chips de 22, 24 y 28 núcleos a 65 y 125 W de TDP, con bLLC

teknomers 5 de Temmuz de 2026

You May Have Missed

Francia-Paraguay: ¿puede anularse la tarjeta amarilla muy severa contra Michael
  • Deporte

Francia-Paraguay: ¿puede anularse la tarjeta amarilla muy severa contra Michael Olise?

teknomers 5 de Temmuz de 2026
  • Cultura

Estrellas de cine: George Clooney y su cerdo Max, un amor a primera vista y casi veinte años de vida juntos

teknomers 5 de Temmuz de 2026
¿Esconde el Galaxy S26 a 1 € en Free Mobile
  • Tecnología

¿Esconde el Galaxy S26 a 1 € en Free Mobile una excelente oferta?

teknomers 5 de Temmuz de 2026
Horóscopo del verano 2026: Escorpio, descubre lo que te deparan
  • salud

Horóscopo del verano 2026: Escorpio, descubre lo que te deparan los astros este año

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.