Специалисты компании Reversing Labs выявили новую изощренную угрозу в репозитории npm: два вредоносных пакета, способных модифицировать легитимные библиотеки для внедрения устойчивого бэкдора. Особенность атаки заключается в том, что вредоносный код сохраняется в системе даже после удаления исходных малициозных пакетов.
Механизм работы вредоносных пакетов
Исследователи обнаружили два взаимосвязанных пакета: ethers-provider2 и ethers-providerz. Первый пакет базируется на популярной библиотеке ssh2, но содержит модифицированный install.js скрипт. При установке он загружает дополнительную полезную нагрузку из внешнего источника, которая после выполнения автоматически удаляется для сокрытия следов активности.
Многоступенчатый процесс заражения
На втором этапе атаки вредоносное ПО проверяет наличие легитимного пакета ethers. При его обнаружении происходит подмена оригинального файла provider-jsonrpc.js на вредоносную версию. Модифицированный файл затем загружает полезную нагрузку третьей стадии, которая устанавливает реверс-шелл через замаскированный SSH-клиент.
Особенности второго вредоносного пакета
Пакет ethers-providerz использует аналогичную технику атаки, но нацелен на библиотеку @ethersproject/providers. Конечной целью также является установка реверс-шелла, подключающегося к тому же командному серверу (5[.]199[.]166[.]1:31337). Примечательно, что ранние версии этого пакета содержали ошибки реализации, из-за чего были удалены из репозитория.
Дополнительные угрозы и меры защиты
Эксперты также идентифицировали два потенциально связанных с данной кампанией пакета: reproduction-hardhat и @theoretical123/providers. Для защиты от подобных угроз специалисты Reversing Labs разработали специальное правило YARA, которое позволяет обнаруживать следы этой вредоносной кампании в системе.
Данный инцидент подчеркивает растущую сложность атак на цепочки поставок программного обеспечения и необходимость тщательной проверки всех устанавливаемых пакетов. Разработчикам рекомендуется регулярно проводить аудит используемых зависимостей и внедрять автоматизированные инструменты проверки безопасности в процесс разработки.
