Atores maliciosos estão injetando códigos maliciosos em projetos legítimos para roubar ativos digitais de usuários desavisados. Segundo relatos, pesquisadores de segurança cibernética descobriram uma sofisticada campanha de malware que visa usuários de criptomoedas por meio de pacotes npm comprometidos.
Segundo o relatório, o ataque visa especificamente usuários das carteiras Atomic e Exodus, com o invasor sequestrando transações por meio da injeção de códigos maliciosos que redirecionam fundos para a carteira do atacante. Essa campanha recente está alinhada com a onda de ataques contra usuários de criptomoedas por meio de ataques à cadeia de suprimentos de software.
A origem do ataque geralmente está nos desenvolvedores, que na maioria das vezes instalam, sem saber, pacotes npm comprometidos em seus projetos. Um desses pacotesdentnesta campanha é o “pdf-to-office”, que aparenta ser legítimo, mas contém códigos maliciosos ocultos. Após a instalação, o pacote verifica o dispositivo do usuário em busca de carteiras de criptomoedas instaladas e injeta o código malicioso capaz de interceptar e redirecionar transações sem o conhecimento do usuário.
Pesquisadores de segurança cibernética identificam códigos maliciosos que visam carteiras de criptomoedas
O impacto desse ataque é muito grave para as vítimas, pois os códigos maliciosos são capazes de redirecionar silenciosamente as transações de criptomoedas para carteiras controladas pelo atacante. Esses ataques afetam diversos ativos digitais, incluindo Ethereum, Solana, XRPe USDT (baseado em Tron). O malware executa o ataque alterando os endereços das carteiras, da legítima para a controlada pelo atacante, no momento em que o usuário tenta enviar fundos.
A campanha maliciosa foi descoberta por da ReversingLabs através da análise de pacotes npm suspeitos. Os pesquisadores mencionaram que existem muitos indícios de comportamentos maliciosos, incluindo conexões de URL suspeitas e padrões de código semelhantes a pacotes maliciosos descobertos anteriormente. Eles mencionaram que houve diversas campanhas que tentaram usar o código malicioso nesta semana. Acreditam que os atacantes estejam usando essa técnica para manter a persistência e evitar a detecção.
“Mais recentemente, uma campanha lançada em 1º de abril publicou um pacote, pdf-to-office, no gerenciador de pacotes npm, que se passava por uma biblioteca para converter arquivos em formato PDF em documentos do Microsoft Office. Quando executado, o pacote injetava código malicioso em softwares legítimos de carteira de criptomoedas instalados localmente, como o Atomic Wallet e o Exodus, sobrescrevendo arquivos existentes e não maliciosos no processo”, disse a ReversingLabs.
Mecanismo de infecção e injeção de código
De acordo com a análise técnica, o ataque é multifásico e começa quando um usuário instala o pacote. O restante ocorre durante as etapas dedentda carteira,tracde arquivos, injeção de código malicioso e, por fim, sequestro de transações. Os atacantes também utilizam técnicas de ofuscação para ocultar suas intenções, dificultando a detecção por ferramentas tradicionais, o que faz com que seja tarde demais quando o usuário descobre o ataque.
Após a instalação, a infecção começa quando o pacote malicioso executa seu payload direcionado ao software de carteira instalado. O códigodenta localização dos arquivos do aplicativo da carteira antes de atacar o formato de pacote ASAR usado por aplicativos baseados emtron. O código busca especificamente por arquivos em caminhos como “AppData/Local/Programs/atomic/resources/app.asar”. Assim que o localiza, o malwaretraco arquivo do aplicativo, injeta seu código malicioso e, em seguida, reconstrói o arquivo.
As injeções visam especificamente arquivos JavaScript presentes no software da carteira, especialmente arquivos de fornecedores como “vendors.64b69c3b00e2a7914733.js”. O malware modifica o código de processamento de transações para substituir os endereços reais da carteira pelos endereços pertencentes ao atacante, utilizando a codificação base64. Por exemplo, quando um usuário tenta enviar Ethereum, o código substitui o endereço do destinatário por uma versão decodificada do endereço.
Após a infecção ser concluída, o malware se comunica por meio de um servidor de comando e controle, enviando informações sobre o status da instalação, incluindo o caminho do diretório inicial do usuário. Isso permite que o trac infecções bem -sucedidas e potencialmente colete informações sobre os sistemas comprometidos. De acordo com a ReversingLabs, o caminho malicioso também demonstrou persistência, com a carteira Web3 ainda infectada em sistemas mesmo após a remoção do pacote.
