Bezpečnostní experti z firmy Reversing Labs nedávno odhalili balíčky s názvy “ethers-provider2” a “ethers-providerz”, které byly na npm nahrány začátkem března 2025. Oba byly záměrně pojmenovány tak, aby připomínaly populární a legitimní balíček ethers, který vývojáři využívají pro komunikaci s Ethereum blockchainem.

Tato JavaScriptová knihovna je klíčovým nástrojem pro vývoj decentralizovaných aplikací (dApps), umožňuje odesílání transakcí, nasazování smart kontraktů a čtení dat z blockchainu. Právě její popularita se stala lákadlem pro útočníky.

Jak útok funguje?

Balíčky “ethers-provider2” a “ethers-providerz” se chovají jako zákeřní aktualizátoři. Po instalaci nejprve stáhnou originální balíček ethers, ale následně jej „záplatují“ – doplní ho o nový soubor s malwarem.

Tento druhý krok je klíčový: výsledkem je reverse shell – technika, kdy napadený počítač sám naváže spojení s útočníkovým serverem. Díky tomu:

• obchází běžná bezpečnostní opatření (např. firewally),
• umožňuje útočníkům vzdálený přístup k systému,
• dovoluje spouštět příkazy, krást data nebo instalovat další malware.

Zdroj: Shutterstock

Kdo je cílem útoku?

Cílení na balíček ethers naznačuje, že útočníci se zaměřují především na vývojáře pracující s Ethereum blockchainem. A protože reverse shell může sloužit i jako infostealer (nástroj pro krádež citlivých dat), je vysoce pravděpodobné, že hlavním motivem je získání přístupu k digitálním peněženkám a kryptoměnám.

„Tento útok byl velmi sofistikovaný – nejen v tom, jak byl maskován, ale i v tom, koho měl zasáhnout,“ uvedli výzkumníci z Reversing Labs.