Investigadores de Reversing Labs han descubierto un nuevo ataque en npm que compromete paquetes locales legítimos, insertando un backdoor persistente en el sistema.
¿Cómo funciona este ataque? ⚠️
Dos paquetes maliciosos detectados:
Los paquetes ethers-provider2 (aún disponible en npm) y ethers-providerz (ya eliminado, pero podría reaparecer).
El paquete malicioso descarga un payload de segunda fase** durante la instalación. Monitorean y modifican paquetes legítimos, como ethers y @ethersproject/providers.
Luego, se inyecta código malicioso en provider-jsonrpc.js, creando una conexión de shell inversa con un servidor remoto.
El backdoor es persistente, incluso si el paquete original es eliminado.
¿Por qué es peligroso?
- Incluso si desinstalas el paquete malicioso, el backdoor sigue activo.
- La infección es sigilosa, imitando el comportamiento de un cliente SSH legítimo.
- El atacante obtiene acceso remoto sin el conocimiento del usuario.
- Puede haber más paquetes vinculados a esta campaña, como
reproduction-hardhaty@theoretical123/providers.
Medidas de seguridad para desarrolladores ️
✅ Revisar el código de los paquetes antes de instalarlos.
✅ Verificar la legitimidad del autor del paquete en npm.
✅ Ejecutar escaneos de seguridad con YARA u otras herramientas en los entornos de desarrollo.
✅ Evitar dependencias no verificadas, especialmente si tienen un número bajo de descargas.
✅ Monitorizar conexiones sospechosas en el sistema.
¡Mantente alerta y protege tu entorno de desarrollo!