Záludné balíčky na npm cílí na vývojáře
Bezpečnostní experti z firmy Reversing Labs nedávno odhalili balíčky s názvy “ethers-provider2” a “ethers-providerz”, které byly na npm nahrány začátkem března 2025. Oba byly záměrně pojmenovány tak, aby připomínaly populární a legitimní balíček ethers, který vývojáři využívají pro komunikaci s Ethereum blockchainem.
Tato JavaScriptová knihovna je klíčovým nástrojem pro vývoj decentralizovaných aplikací (dApps), umožňuje odesílání transakcí, nasazování smart kontraktů a čtení dat z blockchainu. Právě její popularita se stala lákadlem pro útočníky.
Jak útok funguje?
Balíčky “ethers-provider2” a “ethers-providerz” se chovají jako zákeřní aktualizátoři. Po instalaci nejprve stáhnou originální balíček ethers, ale následně jej „záplatují“ – doplní ho o nový soubor s malwarem.
Tento druhý krok je klíčový: výsledkem je reverse shell – technika, kdy napadený počítač sám naváže spojení s útočníkovým serverem. Díky tomu:
- obchází běžná bezpečnostní opatření (např. firewally),
- umožňuje útočníkům vzdálený přístup k systému,
- dovoluje spouštět příkazy, krást data nebo instalovat další malware.
Zdroj: Shutterstock
Kdo je cílem útoku?
Cílení na balíček ethers naznačuje, že útočníci se zaměřují především na vývojáře pracující s Ethereum blockchainem. A protože reverse shell může sloužit i jako infostealer (nástroj pro krádež citlivých dat), je vysoce pravděpodobné, že hlavním motivem je získání přístupu k digitálním peněženkám a kryptoměnám.
„Tento útok byl velmi sofistikovaný – nejen v tom, jak byl maskován, ale i v tom, koho měl zasáhnout,“ uvedli výzkumníci z Reversing Labs.