Siber güvenlik araştırmacıları, NPM kayıt defterinde, yerel olarak kurulu başka bir paketi enfekte etmek için tasarlanmış iki kötü amaçlı paket keşfettiler ve açık kaynaklı ekosistemi hedefleyen yazılım tedarik zinciri saldırılarının sürekli evriminin altını çizdi.
Söz konusu paketler, 15 Mart 2025’te yayınlanmasından bu yana 73 kez indirilen ETHERS-PROVIDER2 ve ETERS-PROVIDERZ’dir. Muhtemelen kötü amaçlı yazarın kendileri tarafından kaldırılan ikinci paket, herhangi bir indirme çekmedi.
Hacker News ile paylaşılan bir raporda ReversingLabs araştırmacısı Lucija Valentić, “Kötü niyetli yükü akıllıca gizli olan basit indiricilerdi.” Dedi.
“İlginç kısım, kötü niyetli yük yükünü içeren yeni bir dosya ile yerel olarak yüklenen meşru NPM paket eterlerini ‘yamalayacak’ ikinci aşamalarında yatıyordu. Bu yamalı dosya sonuçta ters bir kabuk sunacaktı.”
Geliştirme, tehdit aktörlerinin taktiklerinin yeni bir yükselişine işaret ediyor, çünkü haydut paketlerin kaldırılması, değişiklikler popüler kütüphanede bulunduğundan, kötü niyetli işlevlerin tehlikeye atılmış makinelerinden kurtulmayacak. Bunun üzerine, şüphesiz bir kullanıcı, Ether-Provider2 sistemde kaldığında Ethers paketini kaldırırsa, paket daha sonraki bir zamanda tekrar yüklendiğinde yeniden enfeksiyon riskiyle karşı karşıya kalır.
ReversingLabs’ın Ethers-Prrovider2 analizi, bir uzak sunucudan ikinci aşamalı bir malware almak için Install.js içinde kötü amaçlı bir yük içeren yaygın olarak kullanılan SSH2 NPM paketinin truva atışından başka bir şey olmadığını ortaya koydu (“5.199.166[.]1: 31337/yükleme “), geçici bir dosyaya yazın ve çalıştırın.
Yürütmeden hemen sonra, herhangi bir iz bırakmaktan kaçınmak amacıyla geçici dosya sistemden silinir. İkinci aşamalı yük, kendi adına, NPM paket eterlerinin yerel olarak yüklenip yüklenmediğini kontrol etmek için sonsuz bir döngü başlatır.
Etkinlikte, paket zaten mevcuttur veya taze yüklenir, aynı sunucudan üçüncü aşamayı almak ve yürütmek için ek kodda paketlenen sahte bir sürümle “sağlayıcı-jsonrpc.js” adlı dosyalardan birini değiştirerek harekete geçer. Yeni indirilen yük, tehdit oyuncusunun sunucusuna SSH üzerinden bağlanmak için ters bir kabuk olarak işlev görür.
Valentić, “Bu, bu istemciyle açılan bağlantının, sunucudan özel bir mesaj aldıktan sonra ters bir kabuğa dönüştüğü anlamına geliyor.” Dedi. “Paket Ether-Prrovider2 tehlikeye atılmış bir sistemden kaldırılsa bile, müşteri yine de belirli koşullar altında kullanılacak ve saldırganlar için bir dereceye kadar kalıcılık sağlayacaktır.”
Bu aşamada, kötü amaçlı değişiklikler yerel olarak kurulum sonrası yapıldığından, NPM kayıt defterindeki resmi Ethers paketinin tehlikeye atılmadığını belirtmek gerekir.
İkinci paket olan Ethers-Providerz, “@EtherSproject/Tedarikçileri” adlı yerel olarak yüklü bir NPM paketiyle ilişkili dosyaları değiştirmeye çalışması nedeniyle benzer şekilde davranır. Kütüphane tarafından hedeflenen tam NPM paketi bilinmemekle birlikte, kaynak kodu referansları yükleyici olabileceğini gösteriyor.
Bulgular, tehdit aktörlerinin geliştirici sistemlerinde kötü amaçlı yazılımlara hizmet ettiği ve devam ettiği yeni yolları vurgulamaya hizmet ederek, açık kaynaklı depolardan paketlerin indirilmeden ve kullanmadan önce dikkatlice incelenmesini zorunlu kılmaktadır.
Valentić, “Düşük indirme numaralarına rağmen, bu paketler güçlü ve kötü niyetlidir.” Dedi. “Görevleri başarılı olursa, yerel olarak kurulu paket eterleri bozacak ve bu paket kaldırılsa bile tehlikeye atılmış sistemlerde kalıcılığı koruyacaklar.”