Gli autori di attacchi stanno ora iniettando codici dannosi in progetti legittimi per rubare risorse digitali da utenti ignari. Secondo quanto riportato, i ricercatori di sicurezza informatica hanno scoperto una sofisticata campagna malware che prende di mira gli utenti di criptovalute attraverso pacchetti npm compromessi.
Secondo il rapporto, l'attacco prende di mira specificamente gli utenti dei wallet Atomic ed Exodus, con l'aggressore che dirotta le transazioni iniettando codici dannosi che reindirizzano i fondi al proprio wallet. L'ultima campagna è in linea con la catena di attacchi in corso contro gli utenti di criptovalute attraverso attacchi alla supply chain del software.
L'origine dell'attacco è solitamente da attribuire agli sviluppatori, la maggior parte dei quali installa inconsapevolmente i pacchetti npm compromessi nei propri progetti. Uno di questi pacchettidentin questa campagna è "pdf-to-office", che appare normale e legittimo, ma contiene codice dannoso nascosto. Dopo l'installazione, il pacchetto esegue la scansione del dispositivo dell'utente alla ricerca di wallet di criptovalute installati e inietta il codice dannoso in grado di intercettare e reindirizzare le transazioni all'insaputa dell'utente.
I ricercatori di sicurezza informatica segnalano codici dannosi che prendono di mira i portafogli crittografici
L'impatto di questo attacco è estremamente grave per le vittime, poiché i codici maligni sono in grado di reindirizzare silenziosamente le transazioni crittografiche ai wallet controllati dall'aggressore. Questi attacchi interessano diverse risorse digitali, tra cui Ethereum, Solana, XRPe USDT basato su Tron. Il malware esegue efficacemente questo attacco, scambiando gli indirizzi del wallet da quello legittimo a quello controllato dall'aggressore nel momento in cui un utente desidera inviare fondi.
La campagna dannosa è stata scoperta dai di ReversingLabs attraverso l'analisi di pacchetti npm sospetti. I ricercatori hanno affermato che sono presenti numerosi segnali di comportamenti dannosi, tra cui connessioni URL sospette e pattern di codice simili a pacchetti dannosi scoperti in precedenza. Hanno inoltre affermato che questa settimana sono state condotte diverse campagne che hanno tentato di utilizzare il codice dannoso. Ritengono che gli aggressori stiano utilizzando questa tecnica per mantenere la persistenza ed eludere il rilevamento.
"Più di recente, una campagna lanciata il 1° aprile ha pubblicato un pacchetto, pdf-to-office, sul gestore di pacchetti npm, spacciandosi per una libreria per convertire file in formato PDF in documenti Microsoft Office. Una volta eseguito, il pacchetto ha iniettato codice dannoso nei software legittimi per il portafoglio crittografico Atomic Wallet ed Exodus, installati localmente, sovrascrivendo i file esistenti e non dannosi", ha affermato ReversingLabs.
Meccanismo di infezione e iniezione di codice
Secondo l'esame tecnico, l'attacco è multifase e inizia quando un utente installa il pacchetto. Il resto avviene quando procedono attraverso l'dentdel portafoglio, l'tracdei file, l'iniezione di codice dannoso e, infine, il dirottamento delle transazioni. Gli aggressori utilizzano anche tecniche di offuscamento per nascondere le proprie intenzioni, rendendo difficile per gli strumenti tradizionali rilevarle, e facendo sì che sia troppo tardi quando l'utente se ne accorge.
Dopo l'installazione, l'infezione inizia quando il pacchetto dannoso esegue il suo payload prendendo di mira il software del portafoglio installato. Il codicedentla posizione dei file dell'applicazione del portafoglio prima di prendere di mira il formato del pacchetto ASAR utilizzato dalle applicazioni basate sutron. Il codice cerca specificamente i file in percorsi come "AppData/Local/Programs/atomic/resources/app.asar". Una volta individuati, il malwaretracl'archivio dell'applicazione, inietta il suo codice dannoso e quindi ricostruisce l'archivio.
Le iniezioni prendono di mira specificamente i file JavaScript presenti nel software del wallet, in particolare i file vendor come "vendors.64b69c3b00e2a7914733.js". Il malware modifica quindi il codice di gestione delle transazioni per sostituire gli indirizzi wallet reali con quelli appartenenti all'aggressore utilizzando la codifica base64. Ad esempio, quando un utente tenta di inviare Ethereum, il codice sostituisce l'indirizzo del destinatario con una versione decodificata dell'indirizzo.
Una volta completata l'infezione, il malware comunica tramite un server di comando e controllo, inviando informazioni sullo stato dell'installazione, incluso il percorso della directory home dell'utente. Ciò consente all'aggressore di tracciare trac infezioni andate a buon fine e potenzialmente raccogliere informazioni sui sistemi compromessi. Secondo ReversingLabs, il percorso dannoso ha anche mostrato prove di persistenza, con il portafoglio Web3 sui sistemi ancora infetti anche dopo la rimozione del pacchetto.
