Peneliti cybersecurity telah menemukan dua paket jahat pada registri NPM yang dirancang untuk menginfeksi paket lain yang dipasang secara lokal, menggarisbawahi evolusi terus-menerus dari serangan rantai pasokan perangkat lunak yang menargetkan ekosistem open-source.
Paket yang dimaksud adalah Ethers-Provider2 dan Ethers-Providerz, dengan yang sebelumnya diunduh 73 kali hingga saat ini sejak diterbitkan pada 15 Maret 2025. Paket kedua, kemungkinan dihapus oleh penulis malware sendiri, tidak menarik unduhan apa pun.
“Mereka adalah pengunduh sederhana yang muatan jahatnya disembunyikan secara cerdik,” kata peneliti ReversingLab Lucija Valentić dalam sebuah laporan yang dibagikan dengan berita Hacker.
“Bagian yang menarik terletak di tahap kedua mereka, yang akan 'menambal' paket NPM yang sah Ethers, yang diinstal secara lokal, dengan file baru yang berisi muatan jahat. File yang ditambal pada akhirnya akan menyajikan shell terbalik.”
Pengembangan ini menandai eskalasi baru taktik aktor ancaman, karena menghapus pemasangan paket nakal tidak akan menyingkirkan mesin yang dikompromikan dari fungsionalitas jahat, karena perubahan berada di perpustakaan populer. Selain itu, jika pengguna yang tidak curiga menghapus paket Ethers ketika eter-provider2 tetap pada sistem, itu berisiko berisiko ketika paket diinstal lagi di lain waktu.
Analisis ReversingLabs tentang Ethers-Provider2 telah mengungkapkan bahwa itu tidak lain adalah versi trojanisasi dari paket NPM SSH2 yang banyak digunakan yang mencakup muatan berbahaya dalam instalasi.js untuk mengambil malware tahap kedua dari server jarak jauh (“5.199.166[.]1: 31337/instal “), tulislah ke file sementara, dan jalankan.
Segera setelah eksekusi, file sementara dihapus dari sistem dalam upaya untuk menghindari meninggalkan jejak apa pun. Payload tahap kedua, untuk bagiannya, memulai loop tak terbatas untuk memeriksa apakah paket NPM eter diinstal secara lokal.
Dalam acara tersebut, paket sudah ada atau baru saja diinstal, ia beraksi dengan mengganti salah satu file bernama “penyedia-jsonrpc.js” dengan versi palsu yang mengemas dalam kode tambahan untuk mengambil dan mengeksekusi tahap ketiga dari server yang sama. Fungsi muatan yang baru diunduh sebagai shell terbalik untuk terhubung ke server aktor ancaman melalui SSH.
“Itu berarti bahwa koneksi dibuka dengan klien ini berubah menjadi cangkang terbalik setelah menerima pesan khusus dari server,” kata Valentić. “Bahkan jika paket eter-provider2 dihapus dari sistem yang dikompromikan, klien masih akan digunakan dalam keadaan tertentu, memberikan tingkat kegigihan bagi para penyerang.”
Perlu dicatat pada tahap ini bahwa paket eter resmi pada registri NPM tidak dikompromikan, karena modifikasi berbahaya dibuat secara lokal pasca-instalasi.
Paket kedua, Ethers-Providerz, juga berperilaku dengan cara yang sama karena mencoba mengubah file yang terkait dengan paket NPM yang diinstal secara lokal yang disebut “@Ethersproject/penyedia.” Paket NPM yang tepat yang ditargetkan oleh perpustakaan tidak diketahui, meskipun referensi kode sumber menunjukkan itu bisa jadi Loader.js.
Temuan ini berfungsi untuk menyoroti cara-cara baru yang dilakukan para aktor ancaman yang melayani dan bertahan dalam sistem pengembang, menjadikannya penting bahwa paket-paket dari repositori open-source dengan cermat diteliti sebelum mengunduh dan menggunakannya.
“Terlepas dari jumlah unduhan yang rendah, paket -paket ini kuat dan jahat,” kata Valentiic. “Jika misi mereka berhasil, mereka akan merusak paket eter yang diinstal secara lokal dan mempertahankan kegigihan pada sistem yang dikompromikan bahkan jika paket itu dihapus.”
