Pesquisadores alertam para uma nova tática de ataque ao ecossistema npm que envolve o uso de pacotes maliciosos para criar backdoors persistentes em sistemas comprometidos. A técnica é particularmente inovadora, pois mesmo após a remoção dos pacotes maliciosos, o backdoor continua funcionando devido à modificação de bibliotecas legítimas.
Leia também
Fraudadores espalham malware via Google Ads e DeepSeek
Falha crítica no Firefox explorada
Dois pacotes maliciosos identificados, “ethers-provider2” e “ethers-providerz”, utilizam uma abordagem sofisticada. O “ethers-provider2”, ainda disponível no npm, se baseia na popular biblioteca “ssh2” e, ao ser instalado, executa um script de instalação modificado. Este script baixa e executa a segunda fase do malware, que monitora a presença do pacote “ethers” no sistema. Se detectado, ele modifica o arquivo “provider-jsonrpc.js”, inserindo um código malicioso que cria um shell reverso, dando acesso remoto ao invasor.
O principal problema é que, mesmo removendo o pacote “ethers-provider2”, o backdoor permanece ativo, pois o código malicioso é incorporado na biblioteca legítima “ethers”. Isso garante que o sistema continue comprometido, independentemente da remoção do módulo malicioso. O “ethers-providerz” opera de forma semelhante, mas foca em outro pacote popular, “@ethersproject/providers”, e também instala um shell reverso que conecta o sistema à infraestrutura do invasor.
Além disso, pesquisadores da Reversing Labs identificaram dois pacotes adicionais, “reproduction-hardhat” e “@theoretical123/providers”, que podem estar relacionados à mesma campanha maliciosa. Para detectar essas ameaças, a Reversing Labs publicou uma regra YARA, que pode ser usada para identificar os componentes do malware.
A recomendação para desenvolvedores é realizar auditorias rigorosas em seus ambientes, verificar a integridade dos pacotes e ficar atentos a sinais de comprometimento. A atenção especial ao código-fonte e à credibilidade dos desenvolvedores ao instalar pacotes de repositórios públicos como npm ou PyPI é fundamental para evitar ser vítima de ataques como esse.
