Sigiloso Malware Npm Crea Puertas Traseras en Popular Librería de Ethereum

Image by AltumCode, from Unsplash

Sigiloso Malware Npm Crea Puertas Traseras en Popular Librería de Ethereum

Tiempo de lectura: 2 min.

Publicado el Mar 29, 2025

Las investigadoras de seguridad en ReversingLabs han descubierto una sofisticada campaña de malware dirigida al repositorio de paquetes npm.

¿Apurada? Aquí están los hechos rápidos:

  • Los paquetes npm maliciosos ethers-provider2 y ethers-providerz crean una puerta trasera en los sistemas infectados.
  • El malware utiliza ataques de múltiples etapas, modificando ethers para incrustar una shell inversa oculta.
  • Los atacantes mantienen la persistencia mediante la creación de loader.js, garantizando la infección incluso después de la eliminación del paquete.

Los paquetes maliciosos, ethers-provider2 y ethers-providerz, modifican secretamente un paquete npm ampliamente utilizado, ethers, para crear una puerta trasera en los sistemas infectados. El malware se diferencia del malware npm estándar porque utiliza ataques complejos de varias etapas para funcionar.

Estos paquetes se presentan como herramientas reales al duplicar el paquete SSH2, que ha recibido más de 350 millones de descargas, según señalaron los investigadores. El malware se instala robando un código más dañino, que transforma los ethers para incrustar una función de shell inverso oculto para el acceso remoto de los hackers.

ReversingLabs detectó la amenaza utilizando su plataforma Spectra. El proceso de infección comienza cuando se instala ethers-provider2. El script descargado ejecuta un archivo de malware de segunda etapa que se autodestruye después de su ejecución para prevenir su detección.

El malware verifica la presencia de ethers hasta que detecta el paquete, luego intercambia provider-jsonrpc.js con una versión falsa que contiene un código malicioso oculto.

El ataque no se detiene ahí. El malware crea otro archivo llamado loader.js que mantiene la infección activa después de la eliminación de ethers-provider2.

Los atacantes establecen una conexión de shell inversa durante la tercera fase de su ataque, lo que permite a los hackers ejecutar comandos de forma remota a través de clientes SSH comprometidos. ReversingLabs describió este enfoque como evidencia de las capacidades avanzadas de los actores de amenazas que requieren una investigación adicional.

Los investigadores identificaron a ethers-providerz como una posible versión de prueba porque su codificación contenía múltiples errores, pero seguía el mismo patrón que el primer paquete malicioso.

Las expertas en seguridad descubrieron que ethers-provider2 permanecía accesible en npm en el momento de la notificación, a pesar de que ethers-providerz había sido eliminado.

Las desarrolladoras necesitan revisar sus sistemas en busca de signos de infección, mientras utilizan exclusivamente paquetes npm de confianza, según las expertas en seguridad.

¿Te ha gustado este artículo?
¡Puntúalo!
No me ha gustado nada No me gusta Ha estado bien ¡Muy bueno! ¡Me ha encantado!

¡Nos alegra que te guste nuestro trabajo!

Eres importante para nosotros, por eso, nos gustaría que nos dejaras una opinión en Trustpilot, ¿te animas? Se tarda muy poco y significa mucho para nosotros. ¡Gracias por todo!

Valóranos en Trustpilot
0 Votado por 0 usuarios
Título
Comentar
Gracias por tu opinión
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Dejar un comentario

Loader
Loader Ver más