26 mars 2025Ravie LakshmananAttaque de la chaîne d’approvisionnement / logiciels malveillants

Les chercheurs en cybersécurité ont découvert deux packages malveillants sur le registre NPM qui sont conçus pour infecter un autre package installé localement, soulignant l’évolution continue des attaques de chaîne d’approvisionnement logicielles ciblant l’écosystème open-source.

Les packages en question sont Ethers-Provider2 et Ethers-providerzavec le premier téléchargé 73 fois à ce jour car il était publié Le 15 mars 2025. Le deuxième package, probablement supprimé par l’auteur malveillant eux-mêmes, n’a attiré aucun téléchargement.

“C’étaient des téléchargeurs simples dont la charge utile malveillante était intelligemment cachée”, inversant la chercheuse Lucija Valentić dit Dans un rapport partagé avec le Hacker News.

Cybersécurité

“La partie intéressante résidait dans leur deuxième étape, qui« patcher »le package NPM légitime éthersinstallé localement, avec un nouveau fichier contenant la charge utile malveillante. Ce fichier patché servirait finalement un shell inversé. “

Le développement marque une nouvelle escalade des tactiques des acteurs de la menace, car la désinstallation des packages voyous ne débarrassera pas les machines compromises de la fonctionnalité malveillante, car les changements résident dans la bibliothèque populaire. En plus de cela, si un utilisateur sans méfiance supprime le package Ethers lorsque Ethers-Provider2 reste sur le système, il risque la réinfection lorsque le package est à nouveau installé plus tard.

L’analyse de revers de l’éthers-provider2 par les Advers ssh2 Package NPM qui comprend une charge utile malveillante dans install.js pour récupérer un logiciel malveillant de deuxième étape d’un serveur distant (“5.199.166[.]1: 31337 / installer “), écrivez-le dans un fichier temporaire et exécutez-le.

Immédiatement après l’exécution, le fichier temporaire est supprimé du système dans le but d’éviter de laisser des traces. La charge utile de deuxième étape, pour sa part, démarre une boucle infinie pour vérifier si les éthers du package NPM sont installés localement.

Package NPM malveillant

Dans le cas, le package est déjà présent ou il est fraîchement installé, il entre en action en remplaçant l’un des fichiers nommés “Provider-Jsonrpc.js” par une version contrefaite qui emballe en code supplémentaire pour récupérer et exécuter une troisième étape du même serveur. La charge utile nouvellement téléchargée fonctionne comme un shell inversé pour se connecter au serveur de l’acteur de menace sur SSH.

“Cela signifie que la connexion ouverte avec ce client se transforme en shell inversé une fois qu’il reçoit un message personnalisé du serveur”, a déclaré Valentić. “Même si le package Ethers-Provider2 est supprimé d’un système compromis, le client sera toujours utilisé dans certaines circonstances, offrant un certain degré de persistance aux attaquants.”

Il convient de noter à ce stade que le package officiel des Ethers sur le registre NPM n’est pas compromis, car les modifications malveillantes sont apportées localement après l’installation.

Cybersécurité

Le deuxième package, Ethers-Providerz, se comporte également de manière similaire en ce qu’il tente de modifier les fichiers associés à un package NPM installé localement appelé “@ éthersproject / fournisseurs”. Le package NPM exact ciblé par la bibliothèque n’est pas connu, bien que les références de code source indiquent qu’elle aurait pu être chargeur.js.

Les résultats servent à mettre en évidence les nouvelles façons dont les acteurs de menace servent et persistent les logiciels malveillants dans les systèmes de développeurs, ce qui rend essentiel que les packages à partir de référentiels open-source soient soigneusement examinés avant de télécharger et de les utiliser.

“Malgré les faibles numéros de téléchargement, ces packages sont puissants et malveillants”, a déclaré Valentić. “Si leur mission est réussie, ils corrompront les éthers de package installés localement et maintiendront la persistance des systèmes compromis même si ce package est supprimé.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57