Une Campagne de Malwares Ciblant les Cryptomonnaies
Des chercheurs en cybersécurité ont dévoilé les détails d’une campagne de malwares visant les cryptomonnaies Ethereum, XRP et Solana. Cette attaque cible principalement les utilisateurs des portefeuilles Atomic et Exodus au moyen de packages compromis dans le gestionnaire de paquets Node (NPM). Lors de ce processus, les transactions sont redirigées vers des adresses contrôlées par les attaquants, le tout sans que le propriétaire du portefeuille ne s’en aperçoive.
Le Processus d’Infection
L’attaque débute lorsque des développeurs installent, à leur insu, des packages NPM contenant des malwares dans leurs projets. Les chercheurs ont notamment identifié “pdf-to-office” comme un package compromis, qui paraît légitime mais renferme du code malveillant dissimulé. Une fois installé, le package scanne le système à la recherche de portefeuilles de cryptomonnaie actifs et injecte un code malveillant conçu pour intercepter les transactions.
“Cette campagne marque une escalade dans le ciblage continu des utilisateurs de cryptomonnaies à travers des attaques de la chaîne d’approvisionnement logicielle”
Le malware peut rediriger les transactions de plusieurs cryptomonnaies, y compris Ethereum (ETH), USDT basé sur Tron, XRP (XRP) et Solana (SOL).
Analyse de la Campagne par ReversingLabs
ReversingLabs a identifié cette campagne grâce à son analyse de packages NPM suspects et a relevé plusieurs signaux de comportements malveillants, comme des connexions vers des URL suspectes et des motifs de code associés à des menaces antérieures. Leur étude technique révèle qu’il s’agit d’une attaque en plusieurs étapes utilisant des techniques d’obfuscation avancées pour échapper à la détection.
Les Détails Techniques du Malware
Le processus d’infection débute lorsque le package malveillant exécute son code à l’intérieur des logiciels de portefeuille installés sur le système. Ce code recherche spécifiquement des fichiers d’application dans des emplacements précis. Une fois ces fichiers localisés, le malware extrait l’archive de l’application, tout cela se faisant par un code qui crée des répertoires temporaires, extrait les fichiers de l’application, y injecte du code malveillant, puis recompresse le tout pour donner une apparence normale.
Le malware modifie le code de traitement des transactions pour substituer les adresses de portefeuilles légitimes par celles contrôlées par les attaquants en utilisant l’encodage base64. Par exemple, quand l’utilisateur essaie d’envoyer des ETH, le code remplace l’adresse du destinataire par une adresse d’attaquant extraite d’une chaîne encodée en base64.
Conséquences de l’Attaque
L’impact de ce malware peut être catastrophique, car les transactions apparaissent normales dans l’interface du portefeuille, malgré le fait que les fonds sont envoyés aux attaquants. Les utilisateurs ne reçoivent aucune indication visuelle que leurs transactions ont été altérées, jusqu’à ce qu’ils vérifient sur la blockchain et découvrent que des fonds ont été transférés vers une adresse inattendue.
