Los investigadores de ciberseguridad han descubierto dos paquetes maliciosos en el registro NPM que están diseñados para infectar otro paquete instalado localmente, subrayando la cambio continua de los ataques de la cautiverio de suministro de software dirigido al ecosistema de código destapado.
Los paquetes en cuestión son Ethers-Provider2 y Ethers-Providerz, con el primero descargado 73 veces hasta la data desde que se publicó el 15 de marzo de 2025. El segundo paquete, probablemente eliminado por el autor de malware, no atrajo ninguna descarga.
«Eran descargadores simples cuya carga útil maliciosa estaba inteligentemente oculta», dijo la investigadora de reversinglabs Lucija Valentić en un crónica compartido con Hacker News.
«La parte interesante se encontraba en su segunda etapa, que ‘parchearía’ los éteres de paquete NPM legítimos, instalados localmente, con un nuevo archivo que contiene la carga útil maliciosa. Ese archivo parchado finalmente serviría un shell inverso».
El expansión marca una nueva ascensión de las tácticas de los actores de amenaza, ya que desinstalar los paquetes deshonestos no librará a las máquinas comprometidas de la funcionalidad maliciosa, ya que los cambios residen en la biblioteca popular. Por otra parte de eso, si un heredero desprevenido elimina el paquete Ethers cuando Ethers-Provider2 permanece en el sistema, corre el aventura de reinfección cuando el paquete se instala nuevamente en un momento posterior.
El exploración de ReversingLabs de Ethers-Provider2 ha revelado que no es más que una interpretación troyana del paquete SSH2 NPM ampliamente utilizado que incluye una carga útil maliciosa adentro de Install.js para recuperar un malware de segunda etapa desde un servidor remoto («5.199.166 (.) 1: 31337/install»), escribirlo para un archivo temporal y ejecutarlo.
Inmediatamente a posteriori de la ejecución, el archivo temporal se elimina del sistema en un intento por evitar dejar cualquier señal. La carga útil de la segunda etapa, por su parte, inicia un rizo infinito para efectuar si el éter del paquete NPM se instala localmente.
En el caso de que el paquete ya esté presente o se instale recién instalado, se pone en energía reemplazando uno de los archivos llamados «Provider-JsonRpc.js» con una interpretación falsificada que incluye un código adicional para obtener y ejecutar una tercera etapa del mismo servidor. La carga útil recientemente descargada funciona como un shell inverso para conectarse al servidor del actor de amenaza a través de SSH.
«Eso significa que la conexión abierta con este cliente se convierte en un shell inverso una vez que recibe un mensaje personalizado del servidor», dijo Valentić. «Incluso si el paquete Ethers-Provider2 se elimina de un sistema comprometido, el cliente aún se utilizará bajo ciertas circunstancias, proporcionando cierto límite de persistencia para los atacantes».
Vale la pena señalar en esta etapa que el paquete oficial de Ethers en el registro NPM no se ve comprometido, ya que las modificaciones maliciosas se realizan localmente a posteriori de la instalación.
El segundo paquete, Ethers-Providerz, incluso se comporta de forma similar, ya que intenta alterar archivos asociados con un paquete NPM instalado localmente llamado «@Ethersproject/Providers». Se desconoce el paquete NPM exacto dirigido por la biblioteca, aunque las referencias del código fuente indican que podría activo sido cargador.js.
Los hallazgos sirven para resaltar las nuevas formas en que los actores de amenaza están sirviendo y persistiendo malware en los sistemas de desarrolladores, lo que hace que sea esencial que los paquetes de repositorios de código destapado se analicen cuidadosamente antiguamente de descargarlos y usarlos.
«A pesar de los bajos números de descarga, estos paquetes son potentes y maliciosos», dijo Valentić. «Si su encargo es exitosa, corromperán los éteres del paquete instalado localmente y mantendrán la persistencia en los sistemas comprometidos incluso si se elimina ese paquete».
