💬 Криптоотратр

Криптоотратр

Исследователи кибербезопасности поделились подробностями о вредоносной кампании, нацеленной на Ethereum, XRP и Solana.

Атака в основном предназначена для пользователей кошелька Atomic и Exodus через пакеты с компрометированными пакетами пакетов узлов (NPM).

Затем он перенаправляет транзакции на контролируемые злоумышленником адреса без знаний владельца кошелька.

Атака начинается, когда разработчики неосознанно устанавливают троянизированные пакеты NPM в свои проекты. Исследователи определили «PDF-to-Affice» как скомпрометированный пакет, который кажется законным, но содержит скрытый вредоносный код.

После установки пакет сканирует систему для установленных криптовалютных кошельков и вводит вредоносный код, который перехватывает транзакции.

«Эта последняя кампания представляет собой эскалацию в текущем нацеливании в криптовалютных пользователей через атаки цепочки поставок программного обеспечения», - отметили исследователи в своем отчете.

Удолошительное ПО может перенаправлять транзакции по нескольким криптовалютам, включая Ethereum (ETH), на основе TRON USDT, XRP (XRP) и Solana (SOL).

ReversingLabs определили кампанию благодаря анализу подозрительных пакетов NPM и обнаружили несколько показателей вредоносного поведения, включая подозрительные соединения URL и модели кода, соответствующие ранее определенным угрозам. Их технический экзамен выявляет многоэтапную атаку, которая использует расширенные методы запутывания, чтобы избежать обнаружения.

Процесс инфекции начинается, когда вредоносная пакет выполняет свою полезную нагрузку, установленное в системе программного обеспечения для кошелька, установленного в системе. Код специально ищет файлы приложений в определенных путях.

После того, как вредоносная программа извлекает архив приложения. Этот процесс выполняется с помощью кода, который создает временные каталоги, извлекает файлы приложений, вводит вредоносный код, а затем переупаковывает все, чтобы показаться нормальным.

Вредоносное ПО изменяет код обработки транзакций, чтобы заменить законные адреса кошелька на атакующие контролируемые, используя кодирование BASE64.

Например, когда пользователь пытается отправить ETH, код заменяет адрес получателя на адрес злоумышленника, декодированный из строки Base64.

Влияние этого вредоносного ПО может быть трагическим, потому что транзакции кажутся нормальными в интерфейсе кошелька, в то время как средства отправляются злоумышленникам.

Пользователи не имеют визуального указания на то, что их транзакции были скомпрометированы до тех пор, пока они не проверят транзакцию блокчейна, и обнаружить, что средства пошли на неожиданный адрес.