Investigadores de seguridad de Reversing Labs han descubierto una nueva y sofisticada amenaza en el repositorio npm que representa un importante riesgo para el ecosistema de desarrollo JavaScript. Se trata de dos paquetes maliciosos que implementan un mecanismo innovador para comprometer bibliotecas legítimas, instalando backdoors que persisten incluso después de eliminar el malware original.
Análisis técnico de los paquetes maliciosos
Los paquetes identificados, denominados ethers-provider2 y ethers-providerz, utilizan técnicas avanzadas de persistencia. El primer paquete se presenta como una variante de la popular biblioteca ssh2, pero incluye un script install.js modificado que descarga y ejecuta código malicioso adicional, eliminando posteriormente sus rastros mediante un sofisticado mecanismo de auto-limpieza.
Proceso de infección multietapa
La amenaza opera en varias fases: inicialmente, el malware verifica la presencia del paquete legítimo ethers en el sistema. Al detectarlo, sustituye el archivo provider-jsonrpc.js original por una versión comprometida. Esta versión modificada descarga una carga útil adicional que establece un reverse shell a través de un cliente SSH oculto, permitiendo el acceso remoto no autorizado al sistema infectado.
Variantes y objetivos secundarios
El segundo paquete malicioso, ethers-providerz, emplea una metodología similar pero dirigida específicamente a la biblioteca @ethersproject/providers. Ambos paquetes establecen conexiones con el mismo servidor de comando y control (C2) en el puerto 31337. Los investigadores también han identificado dos paquetes potencialmente relacionados: reproduction-hardhat y @theoretical123/providers.
Detección y mitigación
Para combatir esta amenaza, Reversing Labs ha desarrollado reglas YARA específicas que permiten detectar las características distintivas de esta campaña maliciosa. Los desarrolladores deben implementar prácticas de seguridad robustas, incluyendo:
– Verificación rigurosa de las dependencias antes de su instalación
– Implementación de herramientas automatizadas de análisis de seguridad
– Monitorización continua de las bibliotecas instaladas
– Actualización regular de los componentes de seguridad
Este incidente subraya la creciente sofisticación de los ataques a la cadena de suministro de software y la crucial importancia de mantener prácticas de desarrollo seguras. Las organizaciones deben fortalecer sus procesos de verificación de dependencias y considerar la implementación de soluciones automatizadas de seguridad para proteger sus entornos de desarrollo contra estas amenazas emergentes.
