“Дослідники з кібербезпеки поділилися деталями про зловмисне програмне забезпечення, спрямоване на Ethereum, XRP та Solana. Атака в основному націлена на користувачів атомного та відходів гаманця за допомогою компрометованих пакетів пакетів пакетів Node (NPM). Потім він перенаправляє транзакції на керовані зловмисниками адреси без відома власника гаманця. Атака починається, коли розробники несвідомо встановлюють трояналізовані пакети NPM у свої проекти.”, – Напишіть: www.crypto.news
Дослідники з кібербезпеки поділилися деталями про зловмисне програмне забезпечення, спрямоване на Ethereum, XRP та Solana.
Атака в основному націлена на користувачів атомного та відходів гаманця за допомогою компрометованих пакетів пакетів пакетів Node (NPM).
Потім він перенаправляє транзакції на керовані зловмисниками адреси без відома власника гаманця.
Атака починається, коли розробники несвідомо встановлюють трояналізовані пакети NPM у свої проекти. Дослідники визначили “PDF-Office” як компрометований пакет, який виявляється законним, але містить прихований шкідливий код.
Після встановлення пакет сканує систему для встановлених гаманців криптовалют та вводить шкідливий код, який перехоплює транзакції.
“Ескалація в націлюванні”
“Ця остання кампанія представляє ескалацію в поточному націлюванні користувачів криптовалют за допомогою атак ланцюга поставок програмного забезпечення”, – зазначили дослідники у своєму звіті.
Зловмисне програмне забезпечення може перенаправити транзакції в декількох криптовалютах, включаючи Ethereum (ETH), USDT на основі TRON, XRP (XRP) та SOLANA (SOL).
ReversingLabs визначили кампанію за допомогою аналізу підозрілих пакетів NPM та виявили кілька показників зловмисної поведінки, включаючи підозрілі підключення URL -адреси та кодові шаблони, що відповідають раніше ідентифікованим загрозам. Їх технічна експертиза виявляє багатоступеневу атаку, яка використовує вдосконалені методи осквернення для ухилення від виявлення.
Процес інфекції починається, коли шкідливий пакет виконує програмне забезпечення для гаманця, орієнтованого на корисне навантаження, встановлене в системі. Код конкретно шукає файли додатків у певних шляхах.
Після розташування зловмисне програмне забезпечення витягує архів програми. Цей процес виконується за допомогою коду, який створює тимчасові каталоги, витягує файли додатків, вводить шкідливий код, а потім перепробує все, щоб виглядати нормально.
Зловмисне програмне забезпечення модифікує код обробки транзакцій на заміну законних адрес гаманця на контрольованих зловмисниками за допомогою кодування Base64.
Наприклад, коли користувач намагається надіслати ETH, код замінює адресу одержувача на адресу зловмисника, розшифровану з рядка Base64.
Вплив цього зловмисного програмного забезпечення може бути трагічним, оскільки транзакції виглядають нормальними в інтерфейсі гаманця, поки кошти надсилаються зловмисникам.
Користувачі не мають візуальних ознак того, що їх транзакції були порушені, поки вони не перевірять транзакцію blockchain, і виявляють, що кошти не перейшли на несподівану адресу.