💬 Актеры угроз вводят злонамеренные коды в законные крипто -проекты

Актеры угроз вводят злонамеренные коды в законные крипто -проекты

В настоящее время вредоносные актеры вводят вредоносные коды в законные проекты по краже цифровых активов у ничего не подозревающих пользователей. Согласно отчетам, исследователи кибербезопасности обнаружили сложную кампанию вредоносного ПО, которая нацелена на пользователей криптографии посредством компрометированных пакетов NPM.

Согласно отчету, атака специально предназначена для пользователей атомных и исходных кошельков, а злоумышленник захватывает транзакции, вводив вредоносные коды, которые перенаправляют средства на кошелек злоумышленника. Последняя кампания согласуется с постоянной цепочкой атак против пользователей криптографии через атаки цепочки поставок программного обеспечения.

Происхождение атаки обычно от разработчиков, причем большинство из них неосознанно устанавливают скомпрометированные пакеты NPM в своих проектах. Одним из таких пакетов, выявленных в этой кампании, является «PDF-to-Affice», который появляется обычно и выглядит законным, но содержит скрытые злонамеренные коды. После того, как он будет установлен, пакет сканирует устройство пользователя для установленных крипто -кошельков и внедряет вредоносный код, который способен перехватывать и перенаправлять транзакции без знаний пользователя.

Влияние этой атаки очень ужасное для жертв, когда злонамеренные коды способны молча перенаправлять крипто -транзакции на кошельки, контролируемые злоумышленником. Эти атаки работают в нескольких цифровых активах, включая Ethereum, Solana, XRP и Tron на основе USDT. Удолошение эффективно выполняет эту атаку, переключая адреса кошелька с законного адреса, контролируемого злоумышленником, в тот момент, когда пользователь хочет отправить средства.

Злоусовершенная кампания была обнаружена исследователями ReversingLabs в результате их анализа подозрительных пакетов NPM. Исследователи упомянули, что есть так много знаков о злонамеренных поведениях, включая подозрительные соединения URL и паттерны кода, аналогичные ранее обнаруженным вредоносным пакетам. Они упомянули, что было несколько кампаний, которые пытались использовать вредоносный код на этой неделе. Они считают, что злоумышленники используют эту технику для поддержания устойчивости и обнаружения уклонения.

«Совсем недавно, кампания, запущенная 1 апреля, опубликовала пакет PDF-To-Affice, для менеджера пакетов NPM, который представлял собой библиотеку для преобразования файлов формата PDF в документы Microsoft Office. При выполнении пакет вводил вредоносный код в законные, локально установленные криптооценные программные программные обороты и исходовые, не соответствующие файлы, не соответствующие в режиме, не соответствуют решающе в режимешальных вучительных программных вучительных файлах, которые в режиме« в режиме реального », в режиссере, в режиме.

Согласно техническому экзамену, атака является многоэтапной и начинается, когда пользователь устанавливает пакет. Остальное происходит, когда они проходят через идентификацию кошелька, извлечение файлов, злонамеренное инъекцию кода и в конечном итоге угон транзакции. Злоумышленники также используют методы запутывания, чтобы скрыть свои намерения, затрудняя традиционные инструменты, чтобы забрать его, что делает слишком поздно к тому времени, когда пользователь обнаруживает.

После установки инфекция начинается, когда злонамеренный пакет выполняет свою полезную нагрузку на установленное программное обеспечение для кошелька. Код идентифицирует местоположение файлов приложений кошелька, прежде чем ориентироваться на формат пакета ASAR, используемый приложениями на основе электронов. Код специально ищет файлы в таких путях, как «AppData/Local/Programs/Atomic/Resources/App.asar». После того, как он находится, вредоносная программа извлекает архив приложения, вводит свой вредоносный код, а затем восстанавливает архив.

Инъекции специально предназначены для файлов JavaScript, которые находятся внутри программного обеспечения для кошелька, особенно файлов поставщиков, таких как «поставщики.64B69C3B00E2A7914733.js». Затем вредоносное ПО изменяет код обработки транзакций, чтобы заменить настоящие адреса кошелька на те, которые принадлежат злоумышленнику, используя кодирование BASE64. Например, когда пользователь пытается отправить Ethereum, код заменяет адрес получателя на декодированную версию адреса.

После того, как инфекция завершена, вредоносные программы передают связь с использованием сервера командования и контроля, отправляя информацию о состоянии установки, включая путь домашнего каталога пользователя. Это позволяет злоумышленнику отслеживать успешные инфекции и потенциально собирать информацию о скомпрометированных системах. Согласно ReversingLabs, злонамеренный путь также показал доказательства настойчивости, поскольку кошелек Web3 по системам все еще заражен, даже когда пакет был удален.