Що таке криптомальвар?

Криптомальвар - це шкідливе програмне забезпечення, яке викрадає криптовалюту з гаманців користувачів, перенаправляючи транзакції на адреси зловмисників.

Як криптомальвар намагається отримати доступ до гаманців?

Атака починається, коли розробники встановлюють інфіковані пакети npm у свої проєкти, які містять шкідливий код для перехоплення транзакцій.

Які криптовалюти можуть бути під загрозою?

Під загрозою перебувають Ethereum (ETH), XRP (XRP), Solana (SOL) та USDT на основі Tron.

Криптомальвар викрадає ETH, XRP, SOL з гаманців ➤ Cryptovsesvit ₿

Криптомальвар тихо викрадає ETH, XRP, SOL з гаманців

Дослідники в галузі кібербезпеки поділилися деталями кампанії з використанням шкідливого ПЗ, яка націлена на Ethereum, XRP та Solana.

Атака в основному націлена на користувачів гаманців Atomic та Exodus через зламані пакети менеджера пакетів Node.js (NPM).

Вона перенаправляє транзакції на адреси, контрольовані зловмисниками, без відома власника гаманця.

Атака починається, коли розробники, не підозрюючи цього, встановлюють інфіковані пакети npm у свої проєкти. Дослідники виявили `pdf-to-office` як зламаний пакет, який виглядає легітимно, але містить прихований шкідливий код.

Після встановлення пакет сканує систему на наявність встановлених гаманців криптовалюти та впроваджує шкідливий код, який перехоплює транзакції.

Ескалація в націлюванні

“Ця остання кампанія є ескалацією в постійному націлюванні на користувачів криптовалюти через атаки на програмне забезпечення постачальників,” зазначили дослідники в своєму звіті.

Шкідливе ПЗ може перенаправляти транзакції між кількома криптовалютами, включаючи Ethereum (ETH), USDT на основі Tron, XRP (XRP) та Solana (SOL).

ReversingLabs визначили кампанію через свій аналіз підозрілих пакетів npm та виявили кілька показників шкідливої поведінки, включаючи підозрілі URL-з`єднання та патерни коду, які відповідають раніше виявленим загрозам. Їхній технічний аналіз виявляє багатоступеневу атаку, що використовує складні методи обфускації для ухилення від виявлення.

Процес інфекції починається, коли шкідливий пакет виконує свій код, націлений на програмне забезпечення гаманця, встановлене в системі. Код специфічно шукає файли додатків у певних шляхах.

Якщо файли виявляються, шкідливе ПЗ витягує архів додатка. Цей процес виконується через код, що створює тимчасові директорії, витягує файли, впроваджує шкідливий код і потім знову упаковує все, щоб виглядати нормально.

Шкідливе ПЗ модифікує код обробки транзакцій, щоб замінити легітимні адреси гаманців на адреси, контрольовані зловмисниками, використовуючи базове кодування base64.

Наприклад, коли користувач намагається надіслати ETH, код замінює адресу отримувача на адресу зловмисника, декодовану з рядка base64.

Вплив цього шкідливого ПЗ може бути трагічним, оскільки транзакції виглядають нормальними в інтерфейсі гаманця, тоді як кошти надсилаються зловмисникам.

Користувачі не мають візуальних ознак того, що їхні транзакції були скомпрометовані, поки не перевірять транзакцію на блокчейні і не виявлять, що кошти були відправлені на несподівану адресу.

Криптомальвар проводить атаки на гаманці: як зловмисники викрадають ETH, XRP та SOL