Кампания вредоносного ПО нацелена на криптовалюты
Исследователи в области кибербезопасности поделились подробностями о кампании вредоносного ПО, нацеленной на криптовалюты Ethereum, XRP и Solana. Атака в основном нацелена на пользователей кошельков Atomic и Exodus через скомпрометированные пакеты Node Package Manager (NPM).
Процесс атаки
После установки таких пакетов, они перенаправляют транзакции на адреса, контролируемые злоумышленниками, без ведома владельца кошелька. Атака начинается с того, что разработчики случайно устанавливают троянские пакеты NPM в свои проекты. В результате исследования был выявлен пакет «pdf-to-office» — он выглядит легитимным, но содержит скрытый вредоносный код.
Вредоносный код и последствия
После установки этот пакет сканирует систему на наличие установленных криптовалютных кошельков и инжектирует вредоносный код, intercepting транзакции.
«Эта последняя кампания представляет собой эскалацию продолжающейся атаки на пользователей криптовалюты через атаки на цепочку поставок программного обеспечения,» — отметили исследователи в своем отчете.
Вредоносное ПО может перенаправлять транзакции через несколько криптовалют, включая Ethereum (ETH), USDT на базе Tron, XRP и Solana (SOL).
Анализ и методы маскировки
ReversingLabs идентифицировала кампанию через анализ подозрительных пакетов NPM и выявила множество индикаторов вредоносного поведения, включая подозрительные URL-соединения и коды, соответствующие ранее известным угрозам.
Их техническое исследование раскрывает многоступенчатую атаку, использующую современные методы маскировки для уклонения от обнаружения. Процесс заражения начинается с выполнения кода вредоносного пакета, нацеленного на программное обеспечение кошелька, установленное в системе. Код специально ищет файлы приложений в определенных путях.
Изменение транзакций
После обнаружения вредоносное ПО извлекает архив приложения, используя код для создания временных каталогов, извлечения файлов, инжекции вредоносного кода и повторной упаковки всех файлов, чтобы они выглядели корректно. Вредоносное ПО меняет код обработки транзакций, заменяя легитимные адреса кошельков на адреса, контролируемые злоумышленниками, с использованием кодирования Base64.
Например, когда пользователь пытается отправить ETH, код заменяет адрес получателя на адрес злоумышленника, который был декодирован из строки Base64.
Разрушительное влияние
Влияние этой малвари может быть разрушительным, так как транзакции выглядят нормальными в интерфейсе кошелька, в то время как средства отправляются злоумышленникам. У пользователей нет визуального подтверждения того, что их транзакции были скомпрометированы, пока они не проверят свою транзакцию в блокчейне и не обнаружат, что средства были отправлены на unexpected адрес.
