ReversingLabs的安全研究人员在npm软件包存储库中发现了一个新的恶意软件活动，揭示了一种感染开发人员系统的新方法。与典型的恶意软件不同，这种攻击不仅会传播恶意代码，还会将其隐藏在用户计算机上已安装的合法软件中。

该活动围绕两个软件包展开，ethers-provider2和ethers-providerz，它们最初看起来是无害的下载程序。然而，这些软件包悄悄地用恶意文件“修补”了一个流行的npm软件包 ，该软件包是与以太坊区块链ethers交互的广泛使用的工具。这个修改后的版本会打开后门，让攻击者可以远程访问受感染的系统。

这次攻击之所以引人注目，是因为攻击者为隐藏其有效载荷付出了巨大的努力。ReversingLabs的分析结果显示，该恶意软件竭尽全力掩盖其踪迹，甚至删除了感染过程中使用的临时文件，这在典型的基于npm的恶意软件中很少见。

研究人员在博客文章中指出：“这些规避技术比我们之前在基于npm的下载器中观察到的更为彻底和有效。”即使删除初始恶意软件包也不能保证安全，因为被更改的ethers软件包可以保留下来，如果重新安装，还会再次感染自身。

攻击通过下载多个阶段的恶意软件进行。初始下载器会抓取第二阶段，然后检查是否存在软件包ethers 。如果找到，它会用修改后的版本替换核心文件，然后下载并执行最后阶段 - 允许攻击者完全控制的反向shell。

虽然ethers-providerz已从npm中删除，但ethers-provider2在发布时仍然可用，并且已向npm维护人员报告。研究人员还发现了 与同一活动相关的其他软件包reproduction-hardhat和 ，这两个软件包现在都已被删除。

ReversingLabs发布了YARA规则，帮助开发人员检测其本地安装的ethers软件包是否已被泄露。

这次事件提醒我们，npm上的恶意软件仍然是一个大问题。尽管2024年恶意软件数量略有下降，但攻击者不断想出新花招进入软件供应链。开发人员需要保持谨慎，并使用强大的安全措施来确保自己和项目的安全。