Os atores maliciosos estão agora injetando códigos maliciosos em projetos legítimos para roubar ativos digitais de usuários inocentes. Segundo relatos, os pesquisadores de segurança cibernética descobriram uma sofisticada campanha de malware que tem como alvo usuários de criptografia por meio de pacotes NPM comprometidos.
De acordo com o relatório, o ataque tem como alvo especificamente os usuários das carteiras atômicas e de Êxodo, com as transações de seqüestro de invasoras injetando códigos maliciosos que redirecionam os fundos para a carteira do atacante. A campanha mais recente está de acordo com a cadeia de ataques em andamento contra usuários de criptografia por meio de ataques da cadeia de suprimentos de software.
A origem do ataque é geralmente dos desenvolvedores, com a maioria deles, sem saber, instalando os pacotes NPM comprometidos em seus projetos. Um desses pacote que eudentnesta campanha é "PDF-to-office", que aparece normalmente e parece legítimo, mas contém códigos maliciosos ocultos. Depois de instalado, o pacote digitaliza o dispositivo do usuário em busca de carteiras de criptografia instalado e injeta o código malicioso capaz de interceptar e redirecionar transações sem o conhecimento do usuário.
Os pesquisadores de segurança cibernética sinalizam códigos maliciosos direcionados às carteiras criptográficas
O impacto desse ataque é muito terrível para as vítimas, com os códigos maliciosos capazes de redirecionar silenciosamente transações de criptografia para as carteiras controladas pelo atacante. Esses ataques funcionam em vários ativos digitais, incluindo Ethereum, Solana, XRPe USDT baseado em Tron. O malware realiza efetivamente esse ataque, trocando a carteira de endereços da legítima para o endereço controlado pelo atacante no momento em que um usuário deseja enviar fundos.
A campanha maliciosa foi descoberta por revertendo os pesquisadores por meio de sua análise de pacotes suspeitos da NPM. Os pesquisadores mencionaram que existem tantos sinais de comportamentos maliciosos, incluindo conexões de URL suspeitas e padrões de código semelhantes aos pacotes maliciosos descobertos anteriormente. Eles mencionaram que houve várias campanhas que tentaram usar o código malicioso esta semana. Eles acreditam que os atacantes estão usando essa técnica para manter a persistência e fugir da detecção.
“Most recently, a campaign launched on April 1 published a package, pdf-to-office, to the npm package manager that posed as a library for converting PDF format files to Microsoft Office documents. When executed, the package injected malicious code into legitimate, locally-installed crypto wallet software Atomic Wallet and Exodus, overwriting existing, non-malicious files in the process,” ReversingLabs said.
Mecanismo de infecção e injeção de código
De acordo com o exame técnico, o ataque é de vários estágios e começa quando um usuário instala o pacote. O restante acontece quando eles prosseguem pela carteira,dent-se, file atrac, injeção de código maliciosa e seqüestro de transação. Os atacantes também usam técnicas de ofuscação para ocultar suas intenções, dificultando a busca de ferramentas tradicionais, tornando -a tarde demais quando o usuário descobrir.
Após a instalação, a infecção começa quando o pacote malicioso executa seu software de carteira instalado por carga útil. O código que eudenta localização dos arquivos de aplicativos da carteira antes de segmentar o formato do pacote ASAR usado por aplicativos baseados em Electron. O código procura especificamente arquivos em caminhos como "AppData/local/Programs/Atomic/Recursos/App.asar". Uma vez localizá -lo, o malware extraco arquivo do aplicativo, injeta seu código malicioso e, em seguida, reconstrua o arquivo.
As injeções segmentam especificamente arquivos JavaScript que estão dentro do software da carteira, especialmente arquivos de fornecedores como “fornecedores.64b69c3b00e2a7914733.js”. O malware modifica o código de manuseio de transações para substituir os endereços da carteira real pelos pertencentes ao invasor usando a codificação Base64. Por exemplo, quando um usuário tenta enviar Ethereum, o código substitui o endereço do destinatário por uma versão decodificada do endereço.
Após a conclusão da infecção, o malware se comunica usando um servidor de comando e controle, enviando informações de status de instalação, incluindo o caminho do diretório inicial do usuário. Isso permite que o trac infecções bem -sucedidas e potencialmente colete informações sobre os sistemas comprometidos. De acordo com o ReverSingLabs, o caminho malicioso também mostrou evidências de persistência, com a carteira Web3 em sistemas ainda infectados mesmo quando o pacote foi removido.
Suas notícias criptográficas merecem atenção - o fio de diferença -chave coloca você em mais de 250 sites superiores
