悪意のある攻撃者は、正当なプロジェクトに悪意のあるコードを挿入し、無防備なユーザーからデジタル資産を盗み出しています。報道によると、サイバーセキュリティ研究者は、侵害されたnpmパッケージを通じて暗号通貨ユーザーを標的とする高度なマルウェア攻撃を発見しました。.
報道によると、この攻撃はAtomicウォレットとExodusウォレットのユーザーを特に標的としており、攻撃者は悪意のあるコードを挿入することで取引を乗っ取り、資金を攻撃者のウォレットにリダイレクトします。この最新のキャンペーンは、ソフトウェアサプライチェーン攻撃を通じて仮想通貨ユーザーを標的とした一連の攻撃の流れに沿ったものです。.
攻撃の起点は開発者側にある場合が多く、その多くは気づかないうちに侵害されたnpmパッケージをプロジェクトにインストールしてしまうのです。今回のキャンペーンでdentされたそのようなパッケージの一つが「pdf-to-office」です。一見すると正規のパッケージのように見えますが、実際には悪意のあるコードが隠されています。インストールされると、このパッケージはユーザーのデバイスをスキャンし、インストールされている暗号資産ウォレットを検索します。そして、ユーザーの知らないうちにトランザクションを傍受・リダイレクトする悪意のあるコードを挿入します。.
サイバーセキュリティ研究者が暗号通貨ウォレットを狙う悪質なコードを発見
この攻撃の影響は被害者にとって非常に深刻です。悪意のあるコードは、暗号資産取引を攻撃者が管理するウォレットに密かにリダイレクトする能力を持っています。この攻撃は、 Ethereum、 Solana、 XRP、 TronベースのUSDTなど、複数のデジタル資産に作用します。マルウェアは、ユーザーが資金を送金しようとする瞬間に、ウォレットアドレスを正規のアドレスから攻撃者が管理するアドレスに切り替えることで、この攻撃を効果的に実行します。.
この悪意のあるキャンペーンは、 ReversingLabsの研究者が疑わしいnpmパッケージの分析を通じて発見しました。研究者らは、疑わしいURL接続や、以前に発見された悪意のあるパッケージに類似したコードパターンなど、悪意のある動作の兆候が多数存在すると述べています。また、今週、この悪意のあるコードを利用しようとするキャンペーンが複数発生していることも指摘しています。攻撃者はこの手法を用いて、持続性を維持し、検出を回避していると考えられます。
「直近では、4月1日に開始されたキャンペーンで、PDF形式のファイルをMicrosoft Office文書に変換するライブラリを装ったパッケージ『pdf-to-office』がnpmパッケージマネージャーに公開されました。このパッケージが実行されると、ローカルにインストールされた正規の暗号資産ウォレットソフトウェア『Atomic Wallet』と『Exodus』に悪意のあるコードが挿入され、その過程で既存の無害なファイルが上書きされました」とReversingLabsは述べています。.
感染メカニズムとコードインジェクション
技術的調査によると、この攻撃は多段階に分かれており、ユーザーがパッケージをインストールするところから始まります。その後は、ウォレットのdent、ファイルのtrac、悪意のあるコードの挿入、そして最終的にはトランザクションのハイジャックへと進みます。攻撃者は難読化技術を用いて意図を隠蔽するため、従来のツールでは検出が困難になり、ユーザーが気付いた時には既に手遅れの状態になっています。.
インストール後、悪意のあるパッケージがインストールされたウォレットソフトウェアを標的としてペイロードを実行することで感染が始まります。コードは、電子tronのアプリケーションで使用されるASARパッケージ形式を標的とする前に、ウォレットのアプリケーションファイルの場所を特定しdent。具体的には、「AppData/Local/Programs/atomic/resources/app.asar」などのパスにあるファイルを検索します。ファイルを見つけると、マルウェアはアプリケーションアーカイブをtracし、悪意のあるコードを挿入して、アーカイブを再構築します。.
インジェクションは、ウォレットソフトウェア内のJavaScriptファイル、特に「vendors.64b69c3b00e2a7914733.js」のようなベンダーファイルを標的とします。マルウェアはその後、トランザクション処理コードを改変し、実際のウォレットアドレスを、Base64エンコードされた攻撃者のアドレスに置き換えます。例えば、ユーザーが Ethereumを送信しようとすると、コードは受信者アドレスをデコードされたアドレスに置き換えます。.
感染が完了すると、マルウェアはコマンド&コントロールサーバーを介して通信し、ユーザーのホームディレクトリパスを含むインストールステータス情報を送信します。これにより、攻撃者はtracし、侵入したシステムに関する情報を収集できる可能性があります。ReversingLabsによると、この悪意のあるパスは永続性を示す証拠も示しており、パッケージを削除した後でもシステム上のWeb3ウォレットは依然として感染したままです。
