Исследователи компании ReversingLabs обнаружили новый вредоносный пакет npm, который использует исправление локального программного обеспечения для перехвата криптовалютных переводов.
Описание
Злоумышленники активно атакуют криптовалютное сообщество, используя различные методы для взлома популярных криптовалютных пакетов и кражи средств. Однако взлом пакетов с открытым исходным кодом является сложной задачей, поскольку сообщество разработчиков открытого программного обеспечения гарантирует быстрое обнаружение и исправление уязвимостей. В ответ злоумышленники начали загружать вредоносные «заплатки» в популярные репозитории открытого программного обеспечения, которые затем применяются к локальным версиям легитимных библиотек с целью установки вредоносного кода в доверенные локальные библиотеки, оставаясь при этом незамеченными.
ReversingLabs выявила несколько кампаний, которые используют эту методику, включая мошеннический пакет pdf-to-office, который выдавал себя за библиотеку для конвертации PDF-файлов в документы Microsoft Office. При установке этот пакет внедрял вредоносный код в локально установленное программное обеспечение криптокошельков Atomic Wallet и Exodus, подменяя адреса перевода криптовалюты. Эти атаки направлены на пользователей, пытающихся отправить криптовалюту на другой кошелек.
Вредоносный пакет pdf-to-office был впервые обнаружен исследователями ReversingLabs после его публикации 1 апреля на платформе npm. Хотя пакет быстро был удален, злоумышленник опубликовал новую версию пакета, которая внешне очень похожа на первоначальную версию. Пакет обладает простой функциональностью и содержит обфусцированные файлы, что вызывает подозрения. Вредоносная полезная нагрузка этого пакета пытается обнаружить наличие определенного файла в локальных каталогах, что может указывать на злонамеренные действия.
Это последнее открытие компании ReversingLabs свидетельствует о продолжающихся усилиях злоумышленников по взлому криптовалютных кошельков и краже средств. Разработчики криптовалютных приложений и пользователи должны быть бдительны и следить за актуальными обновлениями и исправлениями, чтобы защитить свои активы от подобных атак.
Indicators of Compromise
URLs
- http://178.156.149.109/save-anydesk
- http://178.156.149.109/set-install-status
SHA1
- 15bdc1e9d9cbab7eb3fb3425a71e56601cfaffef
- 2210f9b81dcf251af537fbc93222dd3c453b9806
- 3fdc6451234d74cdfc3d64bf6f1001ba4432b151
- 40e47b781100c2295fd945bcb133cc79994e6bea
- 59384e801dcf0299e0e704434c00b0da65550c01
- 6708a1bdf6c7251223152a5008fcb29ef6734a7a
- 7172583d31d7b79737b21b0d6f76cf179c60f728
- 77f38e6aa1eaf95afabed90e13c565418fac9073
- 92ae8c8317da6dd1660c3decb55be74b1a41f3df
- bcb0594f7c0b134714060455a3f97b0a8d53954e
- d9c14ded8bacbf40f3255d79f831d8344f2e691a
- dfb3a02b9876c72243cf0249825c7126402f328c
- e8ad87a866b6677ef96de30bd93a455ce7247ffc
- e90738ec6cdf9369e7d6f8b5738220bea11656b6
