悪意のある俳優は現在、悪意のあるコードを合法的なプロジェクトに注入して、疑いを持たないユーザーからデジタル資産を盗んでいます。報告によると、サイバーセキュリティの研究者は、妥協したNPMパッケージを介して暗号ユーザーをターゲットにしている洗練されたマルウェアキャンペーンを発見しました。
報告書によると、攻撃は原子財布と脱出ウォレットのユーザーを特別に対象としており、攻撃者は攻撃者の財布に資金をリダイレクトする悪意のあるコードを注入することによりトランザクションをハイジャックします。最新のキャンペーンは、ソフトウェアのサプライチェーン攻撃を通じて、暗号ユーザーに対する継続的な一連の攻撃と一致しています。
攻撃の起源は通常、開発者からのものであり、そのほとんどはプロジェクトに妥協したNPMパッケージを無意識にインストールしています。このキャンペーンで私がdentたそのようなパッケージの1つは、「PDF-to-Office」です。これは正常に見え、合法的に見えますが、隠された悪意のあるコードが含まれています。インストールされた後、パッケージはユーザーのデバイスをスキップ財布をインストールするためにスキャンし、ユーザーの知識なしにトランザクションを傍受およびリダイレクトできる悪意のあるコードを注入します。
サイバーセキュリティ研究者は、暗号ウォレットをターゲットにした悪意のあるコードにフラグを立てます
この攻撃の影響は、犠牲者にとって非常に悲惨であり、悪意のあるコードは、攻撃者が制御するウォレットへの暗号取引を静かにリダイレクトすることができます。これらの攻撃は、 Ethereum、 Solana、 XRP、 TronベースのUSDTなど、いくつかのデジタル資産にわたって機能します。マルウェアはこの攻撃を効果的に実行し、ユーザーが資金を送信したい瞬間に、正当なアドレスから正当なアドレスを攻撃者制御アドレスに切り替えます。
悪意のあるキャンペーンは、疑わしいNPMパッケージの分析を通じて、 ReversingLabsの研究者たちは、以前に発見された悪意のあるパッケージと同様の疑わしいURL接続やコードパターンなど、悪意のある行動の兆候が非常に多いと述べました。彼らは、今週悪意のあるコードを使用しようとしたキャンペーンが多数あると述べました。彼らは、攻撃者がこの手法を使用して持続性を維持し、検出を回避していると信じています。
「最近では、4月1日に開始されたキャンペーンは、PDF形式のファイルをMicrosoft Office Documentsに変換するためのライブラリとしてポーズをとったNPMパッケージマネージャーにパッケージを公開しました。
感染メカニズムとコードインジェクション
技術試験によると、攻撃はマルチステージであり、ユーザーがパッケージをインストールすると開始されます。残りは、財布をdentて進行し、exのtrac、悪意のあるコードインジェクション、および最終的にトランザクションハイジャックを介して進むと起こります。攻撃者はまた、難読化技術を使用して意図を隠し、従来のツールがそれを拾うのを難しくし、ユーザーが発見するまでに遅すぎます。
インストール後、悪意のあるパッケージがペイロードターゲティングインストールされたウォレットソフトウェアを実行すると、感染が始まります。コードIdent、Electronベースのアプリケーションで使用されているASARパッケージ形式をターゲットにする前に、ウォレットのアプリケーションファイルの位置を使用します。このコードは、「AppData/Local/Programs/Atomic/Resources/App.Asar」などのパス内のファイルを具体的に検索します。それがそれを見つけると、マルウェアはアプリケーションアーカイブをtrac、悪意のあるコードを注入し、アーカイブを再構築します。
注入は、ウォレットソフトウェア内にあるJavaScriptファイル、特に「Vendors.64B69C3B00E2A7914733.JS」などのベンダーファイルを特にターゲットにしています。次に、マルウェアはトランザクション処理コードを変更して、Base64エンコーディングを使用して実際のウォレットアドレスを攻撃者に属するものに置き換えます。たとえば、ユーザーが Ethereumを送信しようとすると、コードは受信者アドレスをデコードされたバージョンのアドレスに置き換えます。
感染が完了した後、マルウェアはコマンドアンドコントロールサーバーを使用して通信し、ユーザーのホームディレクトリパスを含むインストールステータス情報を送信します。これにより、攻撃者はさtrac、侵害されたシステムに関する情報を収集する可能性があります。 ReversingLabsによると、悪意のあるパスは持続性の証拠も示しており、パッケージが削除された場合でもシステム上のWeb3ウォレットがまだ感染しています。
Cryptopolitan Academy:市場の揺れにうんざりしていませんか? DeFi安定した受動的収入の構築にどのように役立つかを学びます今すぐ登録してください
