Gli attori dannosi stanno ora iniettando codici dannosi in progetti legittimi per rubare risorse digitali da utenti ignari. Secondo i rapporti, i ricercatori della sicurezza informatica hanno scoperto una sofisticata campagna di malware che si rivolge agli utenti di criptovalute attraverso pacchetti NPM compromessi.
Secondo il rapporto, l'attacco colpisce in modo specifico gli utenti dei portafogli atomici ed esodo, con le transazioni di dirottamento degli attaccanti iniettando codici dannosi che reindirizzano i fondi al portafoglio dell'attaccante. L'ultima campagna è in linea con la catena in corso di attacchi contro gli utenti crittografici attraverso attacchi della catena di approvvigionamento del software.
L'origine dell'attacco proviene di solito dagli sviluppatori, con la maggior parte di essi che installa inconsapevolmente i pacchetti NPM compromessi nei loro progetti. Uno di questi pacchetti che hodentin questa campagna è "PDF-to-office", che appare normalmente e sembra legittimo ma contiene codici dannosi nascosti. Dopo aver installato, il pacchetto scansiona il dispositivo dell'utente per i portafogli di criptovaluta installati e inietta il codice dannoso in grado di intercettare e reindirizzare le transazioni a conoscenza dell'utente.
I ricercatori di sicurezza informatica segnalano codici dannosi di target di criptovalute
L'impatto di questo attacco è molto terribile per le vittime, con i codici dannosi in grado di reindirizzare silenziosamente le transazioni cripto sui portafogli controllati dall'attaccante. Questi attacchi funzionano su diverse risorse digitali, tra cui Ethereum, Solana, XRPe USDT basati su Tron. Il malware esegue efficacemente questo attacco, cambiando gli indirizzi del portafoglio da quello legittimo all'indirizzo controllato dagli attaccanti al momento in cui un utente desidera inviare fondi.
La campagna dannosa è stata scoperta dai invertiti attraverso la loro analisi di pacchetti NPM sospetti. I ricercatori hanno affermato che ci sono così tanti segni di comportamenti dannosi, tra cui le connessioni URL sospette e i modelli di codice simili ai pacchetti maligni precedentemente scoperti. Hanno detto che ci sono state diverse campagne che hanno tentato di utilizzare il codice dannoso questa settimana. Credono che gli aggressori stiano usando questa tecnica per mantenere la persistenza ed eludere il rilevamento.
"Più recentemente, una campagna lanciata il 1 ° aprile ha pubblicato un pacchetto, un office da PDF, al gestore dei pacchetti NPM che si presentava come una libreria per convertire i file in formato PDF in documenti di Microsoft Office. Quando è stato eseguito il pacchetto iniettati in fase di elaborazione non-elaboraggio in elaboraggio a livello locale, a livello di elaborazione a livello locale, a livello di colpa del portafoglio a portafoglio a portafoglio a livello locale.
Meccanismo di infezione e iniezione di codice
Secondo l'esame tecnico, l'attacco è in più fase e inizia quando un utente installa il pacchetto. Il resto si verifica quando procedono attraverso il portafogliodent, FILE EXtrac, INTERITÀ DEL CODICE MALIIGLIO e infine dirottamento delle transazioni. Gli aggressori usano anche le tecniche di offuscamento per nascondere le loro intenzioni, rendendo difficile per gli strumenti tradizionali raccoglierlo, rendendolo troppo tardi quando scopre l'utente.
Dopo l'installazione, l'infezione inizia quando il pacchetto dannoso esegue il suo software per il portafoglio installato. Il codice IdentIfies La posizione dei file dell'applicazione del portafoglio prima di prendere di mira il formato del pacchetto ASAR utilizzato dalle applicazioni basate su Electron. Il codice cerca specificamente file in percorsi come "AppData/Local/Programs/Atomic/Resources/App.asar". Una volta che lo individua, il malware extracl'archivio dell'applicazione, inietta il suo codice dannoso e quindi ricostruisce l'archivio.
Le iniezioni prendono di mira specificamente i file JavaScript che si trovano all'interno del software del portafoglio, in particolare file di fornitori come "fornitori.64b69c3b00e2a7914733.js". Il malware modifica quindi il codice di gestione delle transazioni per sostituire gli indirizzi del portafoglio reale con quelli appartenenti all'attaccante usando la codifica Base64. Ad esempio, quando un utente cerca di inviare Ethereum, il codice sostituisce l'indirizzo del destinatario con una versione decodificata dell'indirizzo.
Dopo il completamento dell'infezione, il malware comunica utilizzando un server di comando e controllo, inviando informazioni sullo stato di installazione incluso il percorso della directory home dell'utente. Ciò consente all'attaccante di trac le infezioni di successo e potenzialmente raccogliere informazioni sui sistemi compromessi. Secondo gli INVERSINGLABS, il percorso dannoso ha anche mostrato prove di persistenza, con il portafoglio Web3 sui sistemi ancora infetti anche quando il pacchetto è stato rimosso.
Cryptolitan Academy: stanco delle oscillazioni del mercato? Scopri come DeFi può aiutarti a costruire un reddito passivo costante. Registrati ora
