Бэкдоры в библиотеке — npm открывает двери для хакеров

Новая волна кибератак на экосистему npm обнажила инновационные методы, которые могут позволить хакерам оставаться незамеченными в течение долгого времени. Специалисты из Reversing Labs обнаружили, как два вредоносных пакета — «ethers-provider2» и «ethers-providerz» — могут модифицировать уже установленные на системе библиотеки, вшивая в них скрытые обратные оболочки. Эти пакеты действуют с поразительной изощренностью, оставляя уязвимости, которые даже после удаления вредоносных пакетов остаются активными.

Механизм атаки включает скрытую модификацию файла библиотеки «ethers», что позволяет злоумышленникам сохранять контроль даже после удаления исходного вредоносного кода. Установка обновлений и устранение вируса с виду очищает систему, но скрытые изменения в файле библиотеки продолжают обеспечивать доступ. Проблема ещё усугубляется тем, что хакеры не ограничиваются одним пакетом, а используют целую стратегию для манипуляции с открытыми исходными кодами.

Кроме того, на платформе были замечены дополнительные пакеты, такие как «reproduction-hardhat» и «@theoretical123/providers», которые могут быть частью той же угрозы. Несмотря на то что некоторые из этих пакетов были удалены, эксперты предупреждают: хакеры могут перезапустить свои атаки с обновленными версиями.

Решение проблемы требует внимательного подхода: разработчикам стоит постоянно проверять свои проекты, внимательно следя за подозрительными действиями в установочных скриптах и кодах. Несмотря на то, что атаки не получили массового распространения, их потенциальный вред может быть разрушительным, и это очередное напоминание о важности безопасности в экосистемах открытого ПО.