Siber güvenlik araştırmacıları, Windows sistemlerinde Atomic ve Exodus gibi kripto para cüzdanları için masaüstü uygulamalarına kötü amaçlı kod enjekte etmek için gizli özelliklerle birlikte gelen kötü amaçlı bir NPM paketi keşfettiler.
Nodejs-SMTP adlı paket, meşru e-posta kütüphanesi nodemailer’ı özdeş bir slogan, sayfa şekillendirme ve okuma açıklamaları ile taklit ederek, Nisan 2025’te “Nikotimon.” Şu anda artık mevcut değil.
Soket araştırmacısı Kirill Boychenko, “İthalatta, Atomik Cüzdan’ın uygulamasını açmak için elektron takımlarını kullanıyor, bir satıcı paketini kötü amaçlı bir yükle değiştirin, uygulamayı yeniden paketleyin ve çalışma dizinini silerek izleri kaldırdı.” Dedi.
Ana amaç, alıcı adresini tehdit aktörü tarafından kontrol edilen sabit kodlu cüzdanlarla üzerine yazmak, Bitcoin (BTC), Ethereum (ETH), Tether (USDT ve TRX USDT), XRP (XRP) ve Solana (Sol) işlemlerinin, kriptokripli klips olarak etkili bir şekilde hareket ettirilmesidir.
Bununla birlikte, paket, geliştiricilerin şüphesini arttırmak için SMTP tabanlı bir posta görevlisi olarak hareket ederek belirtilen işlevselliğini sunar.
Paket hala bir posta olarak çalışır ve nodemilerle uyumlu bir bırakma arayüzü ortaya çıkarır. Bu fonksiyonel örtü şüpheyi azaltır, uygulama testlerinin geçmesine izin verir ve geliştiricilere bağımlılığı sorgulamak için çok az neden verir.
Geliştirme, tersine dönme tabanlarının, atomik ve göç cüzdanlarıyla ilişkili “App.asar” arşivlerini açarak ve Clipper işlevini tanıtmak için bir javascript dosyasını değiştirerek aynı hedeflere ulaşan “PDF-Office” adlı bir NPM paketi keşfetmesinden aylar sonra geliyor.
Boychenko, “Bu kampanya, bir geliştirici iş istasyonunda rutin bir ithalatın ayrı bir masaüstü uygulamasını nasıl sessizce değiştirebileceğini ve yeniden başlatmalarda nasıl devam edebileceğini gösteriyor.” Dedi. “İthalat süresinin yürütülmesini ve elektron ambalajını kötüye kullanarak, benzeri bir posta yazarı, tehlikeye atılan Windows sistemlerinde atomik ve göçü değiştiren bir cüzdan tahliyesi haline gelir.”