Криптомалварь крадет ETH, XRP и SOL из кошельков через скомпрометированные npm-пакеты

Криптомалварь тихо крадет ETH, XRP, SOL из кошельков

Исследователи в области кибербезопасности поделились подробностями кампании вредоносного ПО, нацеленной на Ethereum, XRP и Solana.

Атака в основном затрагивает пользователей кошельков Atomic и Exodus через скомпрометированные пакеты пакетного менеджера node (NPM).

Она затем перенаправляет транзакции на адреса, контролируемые злоумышленниками, без ведома владельца кошелька.

Атака начинается, когда разработчики, не зная того, устанавливают троянские npm-пакеты в свои проекты. Исследователи идентифицировали `pdf-to-office` как скомпрометированный пакет, который выглядит легитимным, но содержит скрытый вредоносный код.

После установки пакет сканирует систему на наличие установленных криптовалютных кошельков и внедряет вредоносный код, который перехватывает транзакции.

Вы также можете быть заинтересованы в:

• Топ криптовалют, на которые стоит обратить внимание на этой неделе: Solana, Fartcoin, Arbitrum

“Эта последняя кампания представляет собой эскалацию в продолжающихся атаках на пользователей криптовалюты через атаки на цепочку поставок программного обеспечения,” отметили исследователи в своем отчете.

Вредоносное ПО может перенаправлять транзакции по нескольким криптовалютам, включая Ethereum (ETH), Tron-based USDT, XRP (XRP) и Solana (SOL).

ReversingLabs идентифицировала кампанию через свой анализ подозрительных npm-пакетов и обнаружила многочисленные указатели вредоносного поведения, включая подозрительные URL-адреса и шаблоны кода, соответствующие ранее идентифицированным угрозам. Их техническое обследование выявляет многоступенчатую атаку, использующую передовые техники обфускации для уклонения от обнаружения.

Процесс заражения начинается, когда вредоносный пакет выполняет свой payload, нацеливаясь на программное обеспечение кошелька, установленное на системе. Код конкретно ищет файлы приложений в определенных путях.

Вы также можете быть заинтересованы в:

• Цена Popcat растет на фоне падения резервов на бирже, лидеры по прибыли удерживаются

Когда файлы найдены, вредоносное ПО извлекает архив приложения. Этот процесс выполняется через код, который создает временные директории, извлекает файлы приложения, внедряет вредоносный код и затем упаковывает все, чтобы выглядеть нормально.

Вредоносное ПО изменяет код обработки транзакций, чтобы заменить легитимные адреса кошельков на адреса, контролируемые злоумышленниками, используя base64-кодирование.

Например, когда пользователь пытается отправить ETH, код заменяет адрес получателя на адрес злоумышленника, декодированный из строки base64.

Последствия этого вредоносного ПО могут быть трагическими, потому что транзакции выглядят нормально в интерфейсе кошелька, в то время как средства отправляются злоумышленникам.

Пользователи не имеют визуальных подтверждений того, что их транзакции были скомпрометированы, пока не проверят транзакцию в блокчейне и не обнаружат, что средства были отправлены на неожиданный адрес.

Читать далее: Крипто, DeFi получают юридические победы благодаря Трампу | Еженедельный обзор