Криптомалварь тихо похищает ETH, XRP, SOL из кошельков

Исследователи в области кибербезопасности поделились деталями кампании по распространению вредоносного ПО, нацеленного на Ethereum, XRP и Solana.

Атака в основном направлена на пользователей кошельков Atomic и Exodus через скомпрометированные пакеты менеджера пакетов Node (NPM).

Затем она перенаправляет транзакции на адреса, контролируемые злоумышленниками, без ведома владельца кошелька.

Атака начинается, когда разработчики неосознанно устанавливают троянские пакеты npm в свои проекты. Исследователи выявили пакет “pdf-to-office” как скомпрометированный, который выглядит легитимно, но содержит скрытый вредоносный код.

После установки пакет сканирует систему на наличие установленных криптовалютных кошельков и внедряет вредоносный код, который перехватывает транзакции.

«Эскалация целей»

«Эта последняя кампания представляет собой эскалацию продолжающегося нацеливания на пользователей криптовалют через атаки на цепочку поставок программного обеспечения», — отметили исследователи в своем отчете.

Вредоносное ПО может перенаправлять транзакции в нескольких криптовалютах, включая Ethereum (ETH), Tron-based USDT, XRP (XRP) и Solana (SOL).

Компания ReversingLabs выявила кампанию через анализ подозрительных npm пакетов и обнаружила несколько индикаторов вредоносного поведения, включая подозрительные URL-соединения и шаблоны кода, соответствующие ранее идентифицированным угрозам. Их техническое исследование выявило многоэтапную атаку, использующую передовые методы обфускации для уклонения от обнаружения.

Процесс заражения начинается, когда вредоносный пакет выполняет свой полезный код, нацеленный на программное обеспечение кошелька, установленное в системе. Код специально ищет файлы приложений в определенных путях.

После обнаружения вредоносное ПО извлекает архив приложения. Этот процесс выполняется через код, создающий временные директории, извлекающий файлы приложения, внедряющий вредоносный код и затем упаковывающий всё обратно, чтобы все выглядело нормально.

Вредоносное ПО изменяет код обработки транзакций, заменяя легитимные адреса кошельков на контролируемые злоумышленниками с использованием кодирования base64.

Например, когда пользователь пытается отправить ETH, код заменяет адрес получателя на адрес злоумышленника, декодированный из строки base64.

Последствия этого вредоносного ПО могут быть трагичными, поскольку транзакции кажутся нормальными в интерфейсе кошелька, в то время как средства отправляются злоумышленникам.

У пользователей нет визуальных признаков того, что их транзакции были скомпрометированы, до тех пор пока они не проверят транзакцию в блокчейне и не обнаружат, что средства отправлены на неожиданный адрес.