- дата публикации
Новый троянский вирус угрожает пользователям криптовалюты – не скачивайте файл с этим названием!
- источник
- сайт
- en.bitcoinsistemi.com
- открыть источник
В ответ на растущую волну кибератак на криптовалютное сообщество преступники запустили сложную программную кампанию, нацеленную на компрометацию широко используемых Web3 кошельков, в частности Atomic Wallet и Exodus. Согласно исследованиям компании ReversingLabs, эта злонамеренная кампания сосредоточена на менеджере пакетов npm, популярной платформе для разработчиков JavaScript и Node.js.
Атакующие устанавливают обманный пакет под названием pdf-to-office, который рекламируют как утилиту для преобразования PDF-файлов в форматы Microsoft Office.
На самом деле этот пакет содержит злонамеренный код, предназначенный для захвата локальных установок легитимного программного обеспечения криптокошельков. После выполнения пакет pdf-to-office тихо вставляет злонамеренные патчи в локально установленные версии Atomic Wallet и Exodus.
Эти патчи заменяют легитимный код модифицированной версией, что позволяет атакующим перехватывать и перенаправлять криптовалютные транзакции.
В результате пользователи, пытающиеся отправить средства, обнаруживают, что их транзакции перенаправляются в кошелек, контролируемый злоумышленниками, без видимых признаков подделки. Атака использовала тонкий и все более популярный метод: вместо прямого захвата открытых пакетов, преступники теперь вставляют злонамеренный код в локальные среды, патчируя легитимное программное обеспечение, которое уже установлено в системе жертвы. Пакет pdf-to-office впервые появился в npm в марте 2025 года и был выпущен в нескольких версиях.
Последняя версия 1.1.2 была выпущена 1 апреля.
Исследователи RL обнаружили пакет с помощью анализа поведения на платформе Spectra Assure с использованием машинного обучения.
Код оказался содержал обфусцированный JavaScript, что является обычным сигналом тревоги в последних кампаниях вредоносного ПО в npm. Важно отметить, что последствия оставались даже после удаления злонамеренного пакета.
После патчирования Web3 кошельков простое удаление поддельного пакета npm не устраняло угрозу.
Жертвы должны были полностью удалить и переустановить свой кошелек, чтобы избавиться от троянских элементов и восстановить целостность кошелька.