Злоумышленники внедряют вредоносный код в легитимные криптопроекты

Злоумышленники внедряют вредоносный код в легитимные проекты, чтобы красть цифровые активы у ничего не подозревающих пользователей. Согласно сообщениям, исследователи в области кибербезопасности обнаружили сложную кампанию по распространению вредоносного ПО, нацеленную на пользователей криптовалют через скомпрометированные пакеты npm.

Согласно отчету, атака направлена ​​конкретно на пользователей кошельков Atomic и Exodus, при этом злоумышленник перехватывает транзакции, внедряя вредоносный код, который перенаправляет средства на кошелек злоумышленника. Эта последняя кампания соответствует продолжающейся серии атак на пользователей криптовалют с помощью атак на цепочку поставок программного обеспечения.

Источником атаки обычно являются разработчики, большинство из которых неосознанно устанавливают скомпрометированные npm-пакеты в свои проекты. Один из таких пакетов,dentв ходе этой кампании, — «pdf-to-office», который выглядит нормально и легитимно, но содержит скрытый вредоносный код. После установки пакет сканирует устройство пользователя на наличие установленных криптовалютных кошельков и внедряет вредоносный код, способный перехватывать и перенаправлять транзакции без ведома пользователя.

Исследователи в области кибербезопасности выявили вредоносный код, нацеленный на криптовалютные кошельки

Последствия этой атаки для жертв крайне серьезны, поскольку вредоносный код способен незаметно перенаправлять криптовалютные транзакции на кошельки, контролируемые злоумышленником. Эти атаки затрагивают несколько цифровых активов, включая Ethereum, Solana, XRPи USDT на основе Tron. Вредоносное ПО эффективно осуществляет эту атаку, переключая адреса кошельков с легитимного на адрес, контролируемый злоумышленником, в тот момент, когда пользователь хочет отправить средства.

Вредоносная кампания была обнаружена ReversingLabs в ходе анализа подозрительных пакетов npm. Исследователи отметили, что существует множество признаков вредоносного поведения, включая подозрительные URL-адреса и шаблоны кода, схожие с ранее обнаруженными вредоносными пакетами. Они упомянули, что на этой неделе было проведено несколько кампаний, пытавшихся использовать вредоносный код. Они считают, что злоумышленники используют эту технику для обеспечения постоянного присутствия в системе и избежания обнаружения.

«Совсем недавно, 1 апреля, в рамках кампании был опубликован пакет pdf-to-office для менеджера пакетов npm, который выдавал себя за библиотеку для преобразования файлов формата PDF в документы Microsoft Office. При запуске этот пакет внедрял вредоносный код в легитимные, локально установленные криптокошельки Atomic Wallet и Exodus, перезаписывая при этом существующие, не содержащие вредоносных данных файлы», — сообщила компания ReversingLabs.

Механизм заражения и введение кода

Согласно технической экспертизе, атака носит многоэтапный характер и начинается с установки пользователем пакета. Дальнейшие действия включаютdentкошелька,tracфайлов, внедрение вредоносного кода и, наконец, перехват транзакций. Злоумышленники также используют методы обфускации, чтобы скрыть свои намерения, что затрудняет обнаружение атаки традиционными инструментами, и к моменту обнаружения пользователем уже слишком поздно.

После установки заражение начинается, когда вредоносный пакет запускает свою полезную нагрузку, нацеленную на установленное программное обеспечение кошелька. Кодdentместоположение файлов приложения кошелька, прежде чем атаковать формат пакета ASAR, используемый приложениями на основеtron. Код специально ищет файлы по таким путям, как «AppData/Local/Programs/atomic/resources/app.asar». Как только он его находит, вредоносная программаtracархив приложения, внедряет свой вредоносный код, а затем перестраивает архив.

Вредоносная программа целенаправленно атакует JavaScript-файлы, находящиеся внутри программного обеспечения кошелька, особенно файлы поставщиков, такие как «vendors.64b69c3b00e2a7914733.js». Затем вредоносное ПО изменяет код обработки транзакций, заменяя реальные адреса кошельков адресами, принадлежащими злоумышленнику, используя кодирование base64. Например, когда пользователь пытается отправить Ethereum, код заменяет адрес получателя декодированной версией адреса.

После завершения заражения вредоносная программа взаимодействует через сервер управления и контроля, отправляя информацию о состоянии установки, включая путь к домашнему каталогу пользователя. Это позволяет злоумышленнику успешные заражения tracи потенциально собирать информацию о скомпрометированных системах. По данным ReversingLabs, вредоносный код также продемонстрировал признаки устойчивости: кошелек Web3 на системах оставался зараженным даже после удаления пакета.