威胁行为者正在将恶意代码注入合法的加密项目中。

恶意攻击者正将恶意代码注入合法项目，以窃取毫无戒心用户的数字资产。据报道，网络安全研究人员发现了一项复杂的恶意软件攻击活动，该活动通过被入侵的 npm 软件包攻击加密货币用户。.

报告指出，此次攻击专门针对Atomic和Exodus钱包的用户，攻击者通过注入恶意代码劫持交易，将资金重定向到攻击者的钱包。此次攻击活动与目前针对加密货币用户的软件供应链攻击浪潮一脉相承。.

攻击通常源自开发者，他们中的大多数人在不知情的情况下将已被篡改的 npm 包安装到了自己的项目中。本次攻击活动中dent的一个此类包名为“pdf-to-office”，它外观正常，看似合法，但实际上却隐藏着恶意代码。安装后，该包会扫描用户设备上已安装的加密钱包，并注入恶意代码，从而在用户不知情的情况下拦截和重定向交易。.

网络安全研究人员已将针对加密钱包的恶意代码标记出来。

此次攻击对受害者的影响极其严重，恶意代码能够悄无声息地将加密货币交易重定向到攻击者控制的钱包。这些攻击适用于多种数字资产，包括 Ethereum、 Solana、 XRP和基于 Tron的 USDT。恶意软件会在用户想要发送资金时，将钱包地址从合法地址切换到攻击者控制的地址，从而有效地实施攻击。.

ReversingLabs 的研究人员通过分析可疑的 npm 包发现了此次恶意攻击活动。研究人员指出，这些恶意行为有很多明显的迹象，包括可疑的 URL 连接以及与之前发现的恶意软件包类似的代码模式。他们提到，本周已有多个攻击活动试图利用这些恶意代码。他们认为，攻击者正在利用这种技术来维持持久性并逃避检测。

“最近，4月1日发起了一项攻击活动，向npm包管理器发布了一个名为pdf-to-office的软件包，该软件包伪装成一个用于将PDF格式文件转换为Microsoft Office文档的库。执行后，该软件包会将恶意代码注入到本地安装的合法加密钱包软件Atomic Wallet和Exodus中，并在此过程中覆盖现有的非恶意文件，”ReversingLabs表示。.

感染机制和代码注入

根据技术分析，该攻击分为多个阶段，从用户安装软件包开始。后续步骤包括钱包dent、文件trac、恶意代码注入，最终劫持交易。攻击者还使用混淆技术来隐藏其意图，使得传统工具难以检测，导致用户发现时为时已晚。.

安装完成后，恶意软件会执行其有效载荷攻击已安装的钱包软件，感染过程由此开始。该代码会dent识别钱包应用程序文件的位置，然后再攻击基于tron应用程序使用的ASAR软件包格式。代码会专门搜索诸如“AppData/Local/Programs/atomic/resources/app.asar”之类的路径中的文件。一旦找到目标文件，恶意软件就会提取应用程序trac文件，注入其恶意代码，然后重新构建该归档文件。.

这些注入攻击专门针对钱包软件内部的 JavaScript 文件，尤其是像“vendors.64b69c3b00e2a7914733.js”这样的供应商文件。恶意软件会修改交易处理代码，使用 base64 编码将真实的钱包地址替换为攻击者的地址。例如，当用户尝试发送 Ethereum时，代码会将接收地址替换为解码后的地址。.

感染完成后，恶意软件会通过命令与控制服务器进行通信，发送包括用户主目录路径在内的安装状态信息。这使得 攻击者 能够 trac成功的感染，并可能收集有关受感染系统的信息。据 ReversingLabs 称，该恶意路径还表现出持久性，即使软件包已被移除，受感染系统上仍然存在 Web3 钱包。