Los actores de amenazas están inyectando códigos maliciosos en proyectos criptográficos legítimos

Agentes maliciosos están inyectando códigos maliciosos en proyectos legítimos para robar activos digitales de usuarios desprevenidos. Según informes, investigadores de ciberseguridad han descubierto una sofisticada campaña de malware dirigida a usuarios de criptomonedas mediante paquetes npm comprometidos.

Según el informe, el ataque se dirige específicamente a los usuarios de las billeteras Atomic y Exodus, y el atacante secuestra las transacciones mediante la inyección de códigos maliciosos que redirigen los fondos a su billetera. Esta última campaña se suma a la cadena de ataques en curso contra usuarios de criptomonedas mediante ataques a la cadena de suministro de software.

El origen del ataque suele provenir de los desarrolladores, quienes, sin saberlo, instalan los paquetes npm comprometidos en sus proyectos. Uno de estos paquetes,denten esta campaña, es "pdf-to-office", que parece legítimo, pero contiene códigos maliciosos ocultos. Tras su instalación, el paquete escanea el dispositivo del usuario en busca de monederos de criptomonedas instalados e inyecta el código malicioso, capaz de interceptar y redirigir transacciones sin el conocimiento del usuario.

Investigadores de ciberseguridad detectan códigos maliciosos dirigidos a billeteras de criptomonedas

El impacto de este ataque es muy grave para las víctimas, ya que los códigos maliciosos pueden redirigir silenciosamente las transacciones de criptomonedas a las billeteras controladas por el atacante. Estos ataques operan con diversos activos digitales, como Ethereum, Solana, XRPy USDT (basado en Tron. El malware ejecuta este ataque eficazmente, cambiando las direcciones de la billetera de la legítima a la dirección controlada por el atacante en el momento en que un usuario desea enviar fondos.

La campaña maliciosa fue descubierta por de ReversingLabs mediante el análisis de paquetes npm sospechosos. Los investigadores mencionaron que existen numerosos indicios de comportamiento malicioso, como conexiones URL sospechosas y patrones de código similares a los de paquetes maliciosos descubiertos anteriormente. Añadieron que varias campañas han intentado usar el código malicioso esta semana. Creen que los atacantes utilizan esta técnica para mantener la persistencia y evadir la detección.

Recientemente, una campaña lanzada el 1 de abril publicó un paquete, pdf-to-office, en el gestor de paquetes npm. Este paquete se hacía pasar por una biblioteca para convertir archivos PDF a documentos de Microsoft Office. Al ejecutarse, el paquete inyectaba código malicioso en los programas legítimos de monederos de criptomonedas Atomic Wallet y Exodus, instalados localmente, sobrescribiendo archivos existentes no maliciosos en el proceso, afirmó ReversingLabs.

Mecanismo de infección e inyección de código

Según un análisis técnico, el ataque consta de varias etapas y comienza cuando el usuario instala el paquete. El resto ocurre durante ladentde la billetera, latracde archivos, la inyección de código malicioso y, finalmente, el secuestro de transacciones. Los atacantes también emplean técnicas de ofuscación para ocultar sus intenciones, lo que dificulta su detección por parte de las herramientas tradicionales y hace que sea demasiado tarde cuando el usuario lo descubre.

Tras la instalación, la infección comienza cuando el paquete malicioso ejecuta su carga útil, atacando el software de billetera instalado. El códigodentla ubicación de los archivos de la aplicación de la billetera antes de atacar el formato de paquete ASAR utilizado por las aplicaciones basadas entron. El código busca específicamente archivos en rutas como "AppData/Local/Programs/atomic/resources/app.asar". Una vez localizado, el malwaretracel archivo de la aplicación, inyecta su código malicioso y lo reconstruye.

Las inyecciones se dirigen específicamente a los archivos JavaScript que se encuentran dentro del software de la billetera, especialmente a los archivos de proveedor como "vendors.64b69c3b00e2a7914733.js". El malware modifica el código de gestión de transacciones para reemplazar las direcciones reales de la billetera con las del atacante, utilizando la codificación base64. Por ejemplo, cuando un usuario intenta enviar Ethereum, el código reemplaza la dirección del destinatario con una versión decodificada de la misma.

Una vez completada la infección, el malware se comunica mediante un servidor de comando y control, enviando información sobre el estado de la instalación, incluyendo la ruta del directorio principal del usuario. Esto permite al las infecciones tracexitosas y potencialmente recopilar información sobre los sistemas comprometidos. Según ReversingLabs, la ruta maliciosa también ha mostrado persistencia, ya que la cartera Web3 permanece en los sistemas infectados incluso después de haber eliminado el paquete.