- Головна
- /
- Безпека
- /
- Криптомальвар проводить атаки на гаманці: як зловмисники викрадають ETH, XRP та SOL
Криптомальвар проводить атаки на гаманці: як зловмисники викрадають ETH, XRP та SOL
34
Криптомальвар тихо викрадає ETH, XRP, SOL з гаманців
Дослідники в галузі кібербезпеки поділилися деталями кампанії з використанням шкідливого ПЗ, яка націлена на Ethereum, XRP та Solana.
Атака в основному націлена на користувачів гаманців Atomic та Exodus через зламані пакети менеджера пакетів Node.js (NPM).
Вона перенаправляє транзакції на адреси, контрольовані зловмисниками, без відома власника гаманця.
Атака починається, коли розробники, не підозрюючи цього, встановлюють інфіковані пакети npm у свої проєкти. Дослідники виявили `pdf-to-office` як зламаний пакет, який виглядає легітимно, але містить прихований шкідливий код.
Після встановлення пакет сканує систему на наявність встановлених гаманців криптовалюти та впроваджує шкідливий код, який перехоплює транзакції.
Ескалація в націлюванні
“Ця остання кампанія є ескалацією в постійному націлюванні на користувачів криптовалюти через атаки на програмне забезпечення постачальників,” зазначили дослідники в своєму звіті.
Шкідливе ПЗ може перенаправляти транзакції між кількома криптовалютами, включаючи Ethereum (ETH), USDT на основі Tron, XRP (XRP) та Solana (SOL).
ReversingLabs визначили кампанію через свій аналіз підозрілих пакетів npm та виявили кілька показників шкідливої поведінки, включаючи підозрілі URL-з`єднання та патерни коду, які відповідають раніше виявленим загрозам. Їхній технічний аналіз виявляє багатоступеневу атаку, що використовує складні методи обфускації для ухилення від виявлення.
Процес інфекції починається, коли шкідливий пакет виконує свій код, націлений на програмне забезпечення гаманця, встановлене в системі. Код специфічно шукає файли додатків у певних шляхах.
Якщо файли виявляються, шкідливе ПЗ витягує архів додатка. Цей процес виконується через код, що створює тимчасові директорії, витягує файли, впроваджує шкідливий код і потім знову упаковує все, щоб виглядати нормально.
Шкідливе ПЗ модифікує код обробки транзакцій, щоб замінити легітимні адреси гаманців на адреси, контрольовані зловмисниками, використовуючи базове кодування base64.
Наприклад, коли користувач намагається надіслати ETH, код замінює адресу отримувача на адресу зловмисника, декодовану з рядка base64.
Вплив цього шкідливого ПЗ може бути трагічним, оскільки транзакції виглядають нормальними в інтерфейсі гаманця, тоді як кошти надсилаються зловмисникам.
Користувачі не мають візуальних ознак того, що їхні транзакції були скомпрометовані, поки не перевірять транзакцію на блокчейні і не виявлять, що кошти були відправлені на несподівану адресу.
Чоловіка засудили на 6 років за відмивання 1 мільйона доларів у біткоїнах для наркоторговців та шахраїв
Чоловіка засудили на 6 років за відмивання 1 млн доларів у біткоїні для наркоторговців і шахраїв. Його бізнес працював без реєстрації, приховуючи сліди. 💰🚫🔒
Правоохоронці конфіскували $200 млн у цифрових активах та готівці під час глобальної операції проти торгівлі фентанілом
Глобальна операція RapTor знищила мережі наркотиків, конфіскувавши $200 млн у готівці та криптоактивах, арештувавши 270 осіб у 10 країнах. 💰🚔🌍🔍💊
Cetus пропонує $6 мільйонів хакеру за повернення викрадених $223 мільйонів після злому на базі Sui
Протокол Cetus на Sui запропонував $6 млн хакеру за повернення $223 млн після злому. Злом виявив вразливості у ціноутворенні, серйозно вдаривши по екосистемі. 🔒💰💔
Збій Coinbase: $400 млн втрачених через гhack і проблеми з конфіденційністю користувачів
Забезпечення конфіденційності під загрозою: атака на Coinbase призвела до витоку $400 млн, підкреслюючи вразливість криптовалютних платформ. 🔒💰📉 Виникають запитання щодо безпеки та відповідальності біржі.