Pesquisadores de cibersegurança descobriram uma série de pacotes maliciosos publicados no repositório npm que visam roubar chaves privadas de carteiras Ethereum e obter acesso remoto às máquinas dos desenvolvedores por meio do protocolo SSH. Esses pacotes maliciosos tentam obter acesso SSH à máquina da vítima escrevendo a chave pública SSH do invasor no arquivo authorized_keys do usuário root. Os pacotes, que têm como objetivo se passar pelo legítimo pacote ethers, foram identificados como parte de uma campanha maliciosa.

Alguns dos pacotes foram publicados por contas com os nomes “crstianokavic” e “timyorks”, e acredita-se que alguns tenham sido lançados para fins de teste, pois apresentam poucas alterações entre si. O pacote mais completo da lista foi nomeado ethers-mew. Essa não é a primeira vez que pacotes maliciosos com funcionalidade semelhante são encontrados no repositório npm. A nova campanha de ataque adota uma abordagem ligeiramente diferente, com o código malicioso incorporado diretamente nos pacotes.

Isso permite que os invasores desviem as chaves privadas de Ethereum para o domínio “ether-sign[.]com”, sob o controle deles. O que torna esse ataque ainda mais furtivo é o fato de que ele exige que o desenvolvedor realmente use o pacote em seu código, como ao criar uma nova instância de Wallet usando o pacote importado, diferentemente de outros casos em que apenas a instalação do pacote já aciona a execução do malware.