Експерти по киберсигурност разкриха нова злонамерена кампания, която цели кражба на криптовалути като Ethereum (ETH), XRP и Solana (SOL) от популярни портфейли като Atomic Wallet и Exodus. Атаката използва злонамерени NPM пакети, които незабелязано пренасочват транзакции към контролирани от хакери адреси, без знанието на потребителя.
Как работи атаката?
Атаката започва, когато разработчици несъзнателно инсталират заразени NPM пакети в своите проекти. Един от засечените пакети е “pdf-to-office”, който изглежда легитимен, но съдържа скрит злонамерен код.
След инсталиране, пакетът сканира системата за инсталирани крипто портфейли и инжектира зловреден код, който захваща транзакции и ги пренасочва. Според изследователите, това представлява ескалация в атаките чрез софтуерната верига за доставки (supply chain attacks).
Технически подробности за атаката
- Малуерът търси специфични пътища в системата, където се намират файлове на портфейли.
- Извлича архивите на приложенията, инжектира код, след което ги репакетира, за да изглеждат нормални.
- Използва base64 кодиране, за да скрие адресите на нападателя в кода.
- При изпращане на средства (например ETH), адресът на получателя се заменя с base64-декодиран адрес, контролиран от атакуващия.
Кой стои зад откритието?
- Компанията ReversingLabs е идентифицирала кампанията чрез анализ на подозрителни NPM пакети. Те са открили:
- Подозрителни връзки към URL адреси,
- Съвпадения в кодовите шаблони с вече известни заплахи,
- Многостепенна атака с напреднали техники за прикриване на кода (обфускация).
Възможни последствия за потребителите
Това, което прави атаката особено опасна, е фактът, че потребителят не получава визуален сигнал за компрометираната транзакция. Интерфейсът на портфейла показва всичко като нормално, докато реално средствата се изпращат към нападателите.
Потребителите разбират за измамата чак след проверка на блокчейн трансакцията, когато забележат, че криптовалутата е изпратена на непознат адрес.
Заключение:
Тази нова вълна от крипто малуер показва, че заплахите в Web3 пространството стават все по-сложни и трудно откриваеми.
Потребителите и разработчиците трябва да бъдат изключително внимателни с източниците на код, който инсталират, както и с всяка транзакция, която извършват. В дигиталния свят, проверка два пъти означава сигурност веднъж.
Често задавани въпроси
Намерете отговори на най-често задаваните въпроси по-долу.
Атака чрез веригата за доставки (supply chain) се случва, когато злонамерен код се вмъкне в легитимни софтуерни зависимости, като NPM пакети, използвани от разработчици.
Основните мишени на тази кампания са потребителите на Atomic и Exodus, но зловредният код е проектиран да търси множество крипто портфейли, така че рискът е по-широк.
- Не инсталирайте произволни NPM пакети без проверка.
- Използвайте антивирусен софтуер, който следи за поведение, а не само за подписи.
- Проверявайте адреса на получателя преди потвърждение на всяка транзакция.
- Следете за съмнителни промени в портфейл файловете.
Много от използваните техники включват напреднала обфускация, която цели да избегне откриването. Засичането зависи от способностите на конкретния софтуер за защита.
Тази статия е с обща информационна цел и не е предназначена и не трябва да се възприема като правен или инвестиционен съвет.
