Campaña de Malware en Criptomonedas
Los investigadores en ciberseguridad han revelado detalles sobre una campaña de malware que ataca a Ethereum, XRP y Solana. Este ataque se dirige principalmente a los usuarios de las billeteras Atomic y Exodus, utilizando paquetes del gestor de paquetes de nodos (NPM) comprometidos. El malware redirige las transacciones a direcciones controladas por el atacante sin el conocimiento del propietario de la billetera.
Método de Ataque
El ataque se inicia cuando los desarrolladores, sin saberlo, incorporan paquetes de npm trojanizados en sus proyectos. Los investigadores han identificado «pdf-to-office» como un paquete comprometido que parece legítimo, pero que en realidad contiene código malicioso oculto. Una vez instalado, este paquete escanea el sistema en busca de billeteras de criptomonedas e inyecta código malicioso que intercepta las transacciones.
«Esta última campaña representa una escalada en el objetivo de atacar a los usuarios de criptomonedas a través de la cadena de suministro de software»
señalaron los investigadores en su informe. El malware es capaz de redirigir transacciones en varias criptomonedas, incluyendo Ethereum (ETH), USDT basado en Tron, XRP (XRP) y Solana (SOL).
Identificación y Análisis
ReversingLabs identificó la campaña tras un análisis de paquetes npm sospechosos, detectando múltiples indicadores de comportamiento malicioso, como conexiones a URL sospechosas y patrones de código correspondiendo a amenazas previamente identificadas. Su examen técnico revela que se trata de un ataque de múltiples etapas, que utiliza técnicas avanzadas de ofuscación para evadir la detección.
Proceso de Infección y Efecto del Malware
El proceso de infección comienza cuando el paquete malicioso ejecuta su carga útil, apuntando al software de billetera instalado en el sistema. El código busca específicamente archivos de aplicación en ciertas rutas. Una vez localizados, el malware extrae el archivo de la aplicación mediante un proceso que crea directorios temporales, extrae los archivos de la aplicación, inyecta el código malicioso y recompone todo para que parezca normal.
El malware modifica el código de manejo de transacciones para reemplazar las direcciones de billetera legítimas por direcciones controladas por el atacante, utilizando codificación base64. Por ejemplo, cuando un usuario intenta enviar ETH, el código sustituye la dirección del destinatario con una del atacante, que ha sido decodificada desde una cadena base64. El impacto de este malware puede ser devastador, ya que las transacciones parecen normales en la interfaz de la billetera, mientras que los fondos son enviados a los atacantes. Los usuarios no tienen ninguna indicación visual de que sus transacciones han sido comprometidas hasta que verifican en la blockchain y descubren que los fondos fueron enviados a una dirección inesperada.
