ReversingLabs的安全研究人员在周三告示,npm包存储库上发现了一个新的恶意软件活动,揭示了一种感染开发人员系统的新方法。与典型的恶意软件不同,这种攻击不仅会传递恶意代码,还会将其隐藏在用户计算机上已安装的合法软件中。
该活动围绕两个包展开,即ethers-provider2和ethers-providerz,它们最初看起来是无害的下载者。然而,这些包悄悄地用恶意文件“修补”了一个名为ethers的流行npm包,ethers是一种广泛使用的与以太坊区块链交互的工具。这种经过修改的ethers版本随后打开了一个后门,使攻击者能够远程访问受感染的系统。
使这种攻击脱颖而出的是攻击者隐藏其有效载荷的努力程度。ReversingLabs在发布之前与Hackread.com分享的分析显示,该恶意软件不遗余力地掩盖其踪迹,甚至删除了感染过程中使用的临时文件,这在典型的基于npm的恶意软件中很少见。
研究人员在他们的博客文章中指出:“这些规避技术比我们以前在基于npm的下载器中观察到的更彻底、更有效。”
即使删除最初的恶意软件包也不能保证安全,因为更改后的ethers软件包如果重新安装,可能会持续存在并重新感染自己。
该攻击通过下载几个阶段的恶意软件来实现。初始下载器抓取第二阶段,然后检查ethers包的存在。如果找到,它会用修改后的版本替换核心文件,下载并执行最后一个阶段——一个允许攻击者完全控制的反向shell。
虽然ethers providerz已从npm中删除,但ethers-provider2在发布时仍然可用,并已向npm维护人员报告。研究人员还发现了与同一活动相关的其他包,如复制安全帽和@theological123/提供者,这两个包现在都已被删除。
ReversingLabs发布了一项YARA规则,以帮助开发人员检测其本地安装的ethers包是否已被泄露。
这一事件很好地提醒我们,npm上的恶意包仍然是一个大问题。尽管2024年恶意软件数量略有下降,但攻击者仍不断想出新的伎俩来进入软件供应链。开发人员需要保持谨慎,并使用强有力的安全措施来保护自己和项目的安全。
本公众号所发布的文章皆源自于互联网转载或作者投稿并授予的原创作品,文章末尾有详细出处标注,其内含内容及图片之版权均属于原网站或作者本人,本公众号对此不持立场,若发现有非故意侵权或转载失当之处,敬请随时联系我们进行妥善处理!文章来源:https://hackread.com/npm-malware-infects-ethereum-library-with-backdoor/
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照