برنامج Npm الخبيث الخفي يخترق المكتبة الشائعة لـ Ethereum

عثر الباحثون في مجال الأمن في ReversingLabs على حملة برامج ضارة متقدمة تستهدف مستودع الحزم npm.

تقوم الحزم الخبيثة، ethers-provider2 و ethers-providerz، بتعديل سري لحزمة npm المستخدمة على نطاق واسع، وهي ethers، لإنشاء باب خلفي في الأنظمة المصابة. يختلف البرنامج الضار عن البرامج الضارة npm القياسية لأنه يستخدم هجمات متعددة المراحل ومعقدة للعمل.

تعرض هذه الحزم نفسها كأدوات حقيقية من خلال تكرار حزمة SSH2، التي تلقت أكثر من 350 مليون تحميل، كما لاحظ الباحثون. يقوم البرنامج الضار بتثبيت نفسه من خلال سرقة رمز أكثر ضررا، يحول الإيثر لتضمين خاصية قذيفة معكوسة مخفية للوصول عن بعد للقراصنة.

اكتشفت ReversingLabs التهديد باستخدام منصتها Spectra. يبدأ عملية الإصابة عند تثبيت ethers-provider2. ينفذ النص المحمل ملف برنامج ضار في المرحلة الثانية يحذف نفسه بعد تنفيذه لمنع الكشف.

تتحقق البرمجية الخبيثة من وجود الإيثرز حتى تكتشف الحزمة، ثم تقوم بتبديل provider-jsonrpc.js بنسخة مزيفة تحتوي على رمز خبيث مخفي.

الهجوم لا يتوقف هنا. تنشئ البرمجية الخبيثة ملفًا آخر يُسمى loader.js يحافظ على العدوى نشطة بعد إزالة ethers-provider2.

قام المهاجمون بإنشاء اتصال بواسطة قذيفة معكوسة خلال المرحلة الثالثة من هجومهم، مما يتيح للقراصنة تنفيذ الأوامر عن بُعد من خلال عملاء SSH المخترقين. وصفت ReversingLabs هذا النهج بأنه دليل على قدرات الجهات الفاعلة المتقدمة للتهديد التي تتطلب التحقيق الإضافي.

تمكن الباحثون من تحديد ethers-providerz كإصدار اختبار محتمل لأن ترميزه يحتوي على أخطاء متعددة ولكنه اتبع نفس النمط الذي اتبعه الحزمة الخبيثة الأولى.

اكتشف الخبراء في الأمن الإلكتروني أن “ethers-provider2” لا يزال قابلاً للوصول عبر npm في وقت التقرير، على الرغم من أنه تم القضاء على “ethers-providerz”.

يحتاج المطورون إلى فحص أنظمتهم بحثًا عن علامات الإصابة، بينما يستخدمون حزم npm الموثوقة فقط وفقًا لخبراء الأمن.