【安全资讯】新型npm攻击在本地包中注入后门

概要：

近期，研究人员发现npm（Node包管理器）上出现了两款恶意软件包，这些软件包悄然修改合法的本地安装包，注入持久的反向Shell后门。即使受害者删除了这些恶意软件包，后门仍会留在其系统中，给用户带来严重的安全隐患。

主要内容：

Reversing Labs的研究人员在对开源供应链进行例行安全检查时，发现了名为'ethers-provider2'和'ethers-providerz'的两个恶意软件包。这些软件包通过修改'install.js'脚本，下载第二阶段的有效负载，并在执行后删除，以消除所有痕迹。该第二阶段监控合法的'ethers'包，一旦发现，就会用一个被篡改的'provider-jsonrpc.js'文件替换掉合法文件。

被注入的文件会从远程主机获取第三阶段的有效负载，利用修改过的SSH客户端实现反向Shell，模仿合法的SSH2客户端行为。此攻击的危险之处在于，即使用户卸载'ethers-provider2'，'ethers'包中的后门仍然存在，导致合法包被感染。'ethers-providerz'包则针对'@ethersproject/providers'包，目标相似，最终也会注入指向同一恶意IP地址的反向Shell。

研究人员还提到另外两个与该攻击活动相关的包，分别是'reproduction-hardhat'和'@theoretical123/providers'。为了帮助开发者检测潜在威胁，Reversing Labs已提供了YARA规则，建议开发者在下载包时仔细检查其合法性及代码，避免风险。