- дата публікації
Новий тройняк загрожує користувачам криптовалюти – не завантажуйте файл з цією назвою!
- джерело
- сайт
- en.bitcoinsistemi.com
- відкрити джерело
У відповідь на зростаючу хвилю кібератак на криптовалютну спільноту злочинці запустили складну програмну кампанію, націлену на компрометацію широко використовуваних Web3 гаманців, зокрема Atomic Wallet і Exodus. Згідно з дослідженнями компанії ReversingLabs, ця зловмисна кампанія зосереджена на менеджері пакетів npm, популярній платформі для розробників JavaScript і Node.js.
Атакуючі встановлюють обманний пакет під назвою pdf-to-office, який рекламують як утиліту для перетворення PDF-файлів у формати Microsoft Office.
Насправді цей пакет містить зловмисний код, призначений для захоплення локальних установок легітимного програмного забезпечення криптогаманців. Після виконання пакет pdf-to-office тихо вставляє зловмисні патчі в локально встановлені версії Atomic Wallet і Exodus.
Ці патчі замінюють легітимний код модифікованою версією, що дозволяє атакуючим перехоплювати та перенаправляти криптовалютні транзакції.
У результаті, користувачі, які намагаються надсилати кошти, виявляють, що їх транзакції перенаправляються до гаманця, контрольованого зловмисниками, без видимих ознак підробки. Атака використала тонкий і все популярніший метод: замість прямого захоплення відкритих пакетів, злочинці тепер вставляють зловмисний код у локальні середовища, патчуючи легітимне програмне забезпечення, яке вже встановлене на системі жертви. Пакет pdf-to-office вперше з'явився в npm у березні 2025 року та був випущений у декількох версіях.
Остання версія 1.1.2 була випущена 1 квітня.
Дослідники RL виявили пакет за допомогою аналізу поведінки на платформі Spectra Assure з використанням машинного навчання.
Код виявився містив обфусікований JavaScript, що є звичайним сигналом тривоги в останніх кампаніях шкідливого програмного забезпечення в npm. Важливо зазначити, що наслідки залишалися навіть після видалення зловмисного пакета.
Після патчування Web3 гаманців просте видалення підробленого пакета npm не усувало загрозу.
Жертви повинні були повністю видалити та перевстановити свій гаманець, щоб позбутися троянських елементів та відновити цілісність гаманця.