Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El paquete NPM malicioso modifica la biblioteca local de ‘éteres’ para lanzar ataques de shell inverso
  • Tecnología

El paquete NPM malicioso modifica la biblioteca local de ‘éteres’ para lanzar ataques de shell inverso

teknomers 26 de Mart de 2025 (Last updated: 26 de Mart de 2025) 4 minutes read
El paquete NPM malicioso modifica la biblioteca local de 'éteres'


26 de marzo de 2025Ravie LakshmananAtaque de la cadena de suministro / malware

Los investigadores de ciberseguridad han descubierto dos paquetes maliciosos en el registro NPM que están diseñados para infectar otro paquete instalado localmente, subrayando la evolución continua de los ataques de la cadena de suministro de software dirigido al ecosistema de código abierto.

Los paquetes en cuestión son Esters-Provider2 y Esters-Providerzcon el primero descargado 73 veces hasta la fecha desde que era publicado el 15 de marzo de 2025. El segundo paquete, probablemente eliminado por el autor de malware, no atrajo ninguna descarga.

“Eran descargadores simples cuya carga útil maliciosa estaba inteligentemente escondida”, la investigadora de reversinglabs Lucija Valentić dicho En un informe compartido con The Hacker News.

Ciberseguridad

“La parte interesante estaba en su segunda etapa, que ‘parchearía’ el paquete legítimo de NPM éterinstalado localmente, con un nuevo archivo que contiene la carga útil maliciosa. Ese archivo parcheado finalmente serviría a un shell inverso “.

El desarrollo marca una nueva escalada de las tácticas de los actores de amenaza, ya que desinstalar los paquetes deshonestos no librará a las máquinas comprometidas de la funcionalidad maliciosa, ya que los cambios residen en la biblioteca popular. Además de eso, si un usuario desprevenido elimina el paquete Ethers cuando Ethers-Provider2 permanece en el sistema, corre el riesgo de reinfección cuando el paquete se instala nuevamente en un momento posterior.

El análisis de ReversingLabs de Ethers-Provider2 ha revelado que no es más que una versión troyana del amplio utilizado. ssh2 Paquete NPM que incluye una carga útil maliciosa dentro de Install.js para recuperar un malware de segunda etapa de un servidor remoto (“5.199.166[.]1: 31337/install “), escríbelo a un archivo temporal y ejecutarlo.

Inmediatamente después de la ejecución, el archivo temporal se elimina del sistema en un intento por evitar dejar cualquier rastro. La carga útil de la segunda etapa, por su parte, inicia un bucle infinito para verificar si el éter del paquete NPM se instala localmente.

Paquete de NPM malicioso

En el caso de que el paquete ya esté presente o se instale recién instalado, se pone en acción reemplazando uno de los archivos llamados “Provider-JsonRpc.js” con una versión falsificada que incluye un código adicional para obtener y ejecutar una tercera etapa del mismo servidor. La carga útil recientemente descargada funciona como un shell inverso para conectarse al servidor del actor de amenaza a través de SSH.

“Eso significa que la conexión abierta con este cliente se convierte en un shell inverso una vez que recibe un mensaje personalizado del servidor”, dijo Valentić. “Incluso si el paquete Ethers-Provider2 se elimina de un sistema comprometido, el cliente aún se utilizará bajo ciertas circunstancias, proporcionando cierto grado de persistencia para los atacantes”.

Vale la pena señalar en esta etapa que el paquete oficial de Ethers en el registro NPM no se ve comprometido, ya que las modificaciones maliciosas se realizan localmente después de la instalación.

Ciberseguridad

El segundo paquete, Ethers-Providerz, también se comporta de manera similar, ya que intenta alterar archivos asociados con un paquete NPM instalado localmente llamado “@Ethersproject/Providers”. Se desconoce el paquete NPM exacto dirigido por la biblioteca, aunque las referencias del código fuente indican que podría haber sido cargador.js.

Los hallazgos sirven para resaltar las nuevas formas en que los actores de amenaza están sirviendo y persistiendo malware en los sistemas de desarrolladores, lo que hace que sea esencial que los paquetes de repositorios de código abierto se analicen cuidadosamente antes de descargarlos y usarlos.

“A pesar de los bajos números de descarga, estos paquetes son potentes y maliciosos”, dijo Valentić. “Si su misión es exitosa, corromperán los éteres del paquete instalado localmente y mantendrán la persistencia en los sistemas comprometidos incluso si se elimina ese paquete”.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Isabella (13) Falta, la familia está preocupada
Next: Smart Chatbot y pulsera contra el agotamiento: Ku Louven lanza un proyecto innovador

Related Stories

Variedad en Nova Lake-S: Intel propondría chips de 22, 24
  • Tecnología

Variedad en Nova Lake-S: Intel propondría chips de 22, 24 y 28 núcleos a 65 y 125 W de TDP, con bLLC

teknomers 5 de Temmuz de 2026
Intel confirma un aumento de precio en sus procesadores Core
  • Tecnología

Intel confirma un aumento de precio en sus procesadores Core Ultra 7 270K y Ultra 5 250K

teknomers 5 de Temmuz de 2026
Un solo coche de F1 en 2026 genera tanto datos
  • Tecnología

Un solo coche de F1 en 2026 genera tanto datos como 1,600 películas de Netflix en simultáneo (Reportaje)

teknomers 5 de Temmuz de 2026

You May Have Missed

  • Deporte

Wimbledon 2026: Serena Williams es ‘como Ronaldinho’ – pero, ¿puede ganar partidos de Grand Slam?

teknomers 5 de Temmuz de 2026
  • General

Los tres hijos de Khamenei asisten a las oraciones de funeral; el sucesor Mojtaba permanece ausente en el Día 2

teknomers 5 de Temmuz de 2026
  • General

250 años de la independencia de Estados Unidos: un incendio en el Brooklyn Bridge «muy probablemente» provocado por un fuego artificial

teknomers 5 de Temmuz de 2026
Mundial: ¿cómo se designan los árbitros y pueden ser sancionados
  • Deporte

Mundial: ¿cómo se designan los árbitros y pueden ser sancionados después de un mal partido?

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.