дата публикации

Новый троянский вирус угрожает пользователям криптовалюты – не скачивайте файл с этим названием!

источник

В ответ на растущую волну кибератак на криптовалютное сообщество преступники запустили сложную программную кампанию, нацеленную на компрометацию широко используемых Web3 кошельков, в частности Atomic Wallet и Exodus. Согласно исследованиям компании ReversingLabs, эта злонамеренная кампания сосредоточена на менеджере пакетов npm, популярной платформе для разработчиков JavaScript и Node.js.

Атакующие устанавливают обманный пакет под названием pdf-to-office, который рекламируют как утилиту для преобразования PDF-файлов в форматы Microsoft Office.

На самом деле этот пакет содержит злонамеренный код, предназначенный для захвата локальных установок легитимного программного обеспечения криптокошельков. После выполнения пакет pdf-to-office тихо вставляет злонамеренные патчи в локально установленные версии Atomic Wallet и Exodus.

Эти патчи заменяют легитимный код модифицированной версией, что позволяет атакующим перехватывать и перенаправлять криптовалютные транзакции.

В результате пользователи, пытающиеся отправить средства, обнаруживают, что их транзакции перенаправляются в кошелек, контролируемый злоумышленниками, без видимых признаков подделки. Атака использовала тонкий и все более популярный метод: вместо прямого захвата открытых пакетов, преступники теперь вставляют злонамеренный код в локальные среды, патчируя легитимное программное обеспечение, которое уже установлено в системе жертвы. Пакет pdf-to-office впервые появился в npm в марте 2025 года и был выпущен в нескольких версиях.

Последняя версия 1.1.2 была выпущена 1 апреля.

Исследователи RL обнаружили пакет с помощью анализа поведения на платформе Spectra Assure с использованием машинного обучения.

Код оказался содержал обфусцированный JavaScript, что является обычным сигналом тревоги в последних кампаниях вредоносного ПО в npm. Важно отметить, что последствия оставались даже после удаления злонамеренного пакета.

После патчирования Web3 кошельков простое удаление поддельного пакета npm не устраняло угрозу.

Жертвы должны были полностью удалить и переустановить свой кошелек, чтобы избавиться от троянских элементов и восстановить целостность кошелька.