Bösartige Schauspieler geben jetzt böswillige Codes in legitime Projekte ein, um digitale Vermögenswerte von ahnungslosen Benutzern zu stehlen. Berichten zufolge haben Cybersecurity -Forscher eine ausgeklügelte Malware -Kampagne aufgedeckt, die Krypto -Benutzer durch kompromittierte NPM -Pakete abzielt.
Laut dem Bericht richtet sich der Angriff speziell für Benutzer der Atom- und Exodus -Geldbörsen, wobei der Angreifer Transaktionen entführt, indem er böswillige Codes injiziert, die der Brieftasche des Angreifers Gelder umleiten. Die neueste Kampagne entspricht der laufenden Kette von Angriffen gegen Krypto -Benutzer durch Software -Supply -Chain -Angriffe.
Der Ursprung des Angriffs stammt normalerweise von den Entwicklern, wobei die meisten die kompromittierten NPM -Pakete in ihren Projekten unwissentlich installieren. Ein solches Paket, das ich in dieser KampagnedentLage bin, ist „PDF-to-Office“, das normalerweise erscheint und legitim aussieht, aber versteckte böswillige Codes enthält. Nach der Installation scannt das Paket das Gerät des Benutzers auf installierte Krypto -Geldbörsen und injiziert den böswilligen Code, der in der Lage ist, Transaktionen ohne das Wissen des Benutzers abzufangen und umzuleiten.
Cybersecurity -Forscher kennzeichnen böswillige Codes, die sich auf Krypto -Brieftaschen abzielen
Die Auswirkungen dieses Angriffs sind für die Opfer sehr schlimm, wobei die böswilligen Codes in der Lage sind, Krypto -Transaktionen zu den vom Angreifer kontrollierten Brieftaschen stillschweigend umzuleiten. Diese Angriffe funktionieren über mehrere digitale Vermögenswerte hinweg, darunter Ethereum, Solana, XRPund Tron-basierte USDT. Die Malware führt diesen Angriff effektiv aus und wechselt die Brieftaschenadressen von der legitimen zu der von Angreifer kontrollierten Adresse, in der ein Benutzer Mittel senden möchte.
ReversingLabs -Forschern durch ihre Analyse verdächtiger NPM -Pakete entdeckt Die Forscher erwähnten, dass es so viele Anzeichen von böswilligen Verhaltensweisen gibt, einschließlich der verdächtigen URL -Verbindungen und Codemuster, die zuvor entdeckten böswilligen Paketen ähnlich sind. Sie erwähnten, dass es eine Reihe von Kampagnen gab, die versucht haben, den böswilligen Code in dieser Woche zu verwenden. Sie glauben, dass die Angreifer diese Technik verwenden, um die Persistenz zu erhalten und die Erkennung zu entgehen.
“Most recently, a campaign launched on April 1 published a package, pdf-to-office, to the npm package manager that posed as a library for converting PDF format files to Microsoft Office documents. When executed, the package injected malicious code into legitimate, locally-installed crypto wallet software Atomic Wallet and Exodus, overwriting existing, non-malicious files in the process,” ReversingLabs said.
Infektionsmechanismus und Code -Injektion
Laut technischer Prüfung ist der Angriff mehrstufig und beginnt, wenn ein Benutzer das Paket installiert. Der Rest passiert, wenn sie durch die Brieftasche fahren, wenn ichdent, einetraction, böswillige Code -Injektion und letztendlich Transaktionsentführungen einreichen. Die Angreifer verwenden auch Verschleierungstechniken, um ihre Absichten zu verbergen, sodass traditionelle Tools es schwierig machen, sie aufzunehmen, und es wird zu spät, wenn der Benutzer entdeckt.
Nach der Installation beginnt die Infektion, wenn das böswillige Paket seine Nutzlast -Targeting -installierte Brieftaschensoftware ausführt. Der Code, den ichdentden Speicherort der Anwendungsdateien der Brieftaschen vor dem ASAR -Paketformat von EELECtron-basierten Anwendungen vorschreibt. Der Code sucht speziell nach Dateien in Pfaden wie "AppData/Local/Programs/Atomic/Ressourcen/App.asar". Sobald es es lokalisiert hat,tracder Malware das Anwendungsarchiv, injiziert seinen böswilligen Code und baut dann das Archiv wieder auf.
Die Injektionen richten sich speziell an JavaScript -Dateien, die sich in der Wallet -Software befinden, insbesondere Anbieterdateien wie „Anbieter.64B69C3B00E2A7914733.JS“. Die Malware verändert dann den Transaktionsabwicklungscode, um die realen Brieftaschenadressen durch die Angreifer mit der Basis64 -Codierung zu ersetzen. Wenn ein Benutzer beispielsweise versucht, Ethereumzu senden, ersetzt der Code die Empfängeradresse durch eine dekodierte Version der Adresse.
Nach Abschluss der Infektion kommuniziert die Malware mit einem Befehl und Kontrollserver und sendet die Installationsstatusinformationen einschließlich des Home-Verzeichnispfads des Benutzers. Dies ermöglicht es dem Angreifer , erfolgreiche Infektionen zu trac Laut ReversingLabs hat der böswillige Pfad auch Hinweise auf Persistenz gezeigt, wobei die Web3 -Brieftasche auf Systemen noch infiziert ist, selbst wenn das Paket entfernt wurde.
Cryptopolitan Academy: Müde von Marktschwankungen? Erfahren Sie, wie DeFi Ihnen helfen kann, ein stetiges passives Einkommen aufzubauen. Registrieren Sie sich jetzt
