Tehdit aktörleri, meşru kütüphanelerin önceden yüklenmiş yerel sürümlerini kurcalamaya ve bir yazılım tedarik zinciri saldırısına karşı gizli bir girişim olarak görülen şeyde kötü amaçlı kod yürütmek için NPM kayıt defterine kötü amaçlı paketler yüklemeye devam ediyor.
PDF’den OFFICE olarak adlandırılan yeni keşfedilen paket, PDF dosyalarını Microsoft Word belgelerine dönüştürmek için bir yardımcı program olarak Masquerades. Ancak, gerçekte, atom cüzdanı ve göç ile ilişkili kripto para birimi cüzdan yazılımına kötü amaçlı kod enjekte etmek için özellikleri barındırır.
ReversingLabs araştırmacısı Lucija Valentić, hacker News ile paylaşılan bir raporda, “Etkili bir şekilde, başka bir kripto cüzdanına kripto fonları göndermeye çalışan bir kurban, kötü niyetli aktöre ait biri için amaçlanan cüzdan hedef adresinin değiştirilmesini sağlayacaktır.” Dedi.
Söz konusu NPM paketi ilk olarak 24 Mart 2025’te yayınlandı ve o zamandan beri üç güncelleme aldı, ancak önceki sürümler yazarların kendileri tarafından kaldırılmadan önce. En son sürüm, 1.1.2, 8 Nisan’da yüklendi ve indirilebilir. Paket bugüne kadar 334 kez indirildi.
Açıklama, yazılım tedarik zinciri güvenlik firmasının, yerel olarak kurulmuş paketleri enfekte etmek ve Tehdit Oyuncunun sunucusuna SSH üzerinden bağlanmak için bir ters kabuk oluşturmak için tasarlanan Ether-Provider2 ve Ether-Prroviderz adlı iki NPM paketini ortaya çıkarmasından sadece haftalardır.
Bu yaklaşımı tehdit aktörleri için cazip bir seçenek haline getiren şey, kötü amaçlı paketin kaldırıldıktan sonra bile kötü amaçlı yazılımların geliştirici sistemlerinde devam etmesine izin vermesidir.
PDF-Office analizi, paketin içine yerleştirilmiş kötü amaçlı kodun, “atomik/kaynaklar/app.asar” arşivinin “AppData/Local/Programlar” klasörünün varlığını Windows bilgisayarına takıldığını ve eğer öyleyse, clipper işlevlerini tanıttığını ortaya koymuştur.
Valentić, “Arşiv mevcut olsaydı, kötü amaçlı kod dosyalarından birinin, meşru dosya ile aynı işlevselliğe sahip olan yeni bir truva atı sürümü ile üzerine yazacak, ancak fonların tehdit aktörüne ait baz ile kodlanmış bir Web3 cüzdanının adresiyle gönderileceği giden kripto adresini değiştirecekti.” Dedi.
Benzer bir şekilde, yük ayrıca Çıkış Cüzdanı ile ilişkili “SRC/APP/App/UI/Index.js” dosyasını trojanize etmek için tasarlanmıştır.
Ancak ilginç bir bükülmede, saldırılar her bir atom cüzdanının (2.91.5 ve 2.90.6) hem de Exodus’un (25.13.3 ve 25.9.2) iki özel versiyona yöneliktir.
Valentić, “Şans eseri, PDF-Office paketinin bilgisayardan kaldırılması durumunda, Web3 cüzdanının yazılımı tehlikeye girecek ve kripto fonlarını saldırganların cüzdanına yönlendirmeye devam edecek.” Dedi. “Kötü niyetli truva işlemlerini Web3 cüzdan yazılımından tamamen kaldırmanın tek yolu bunları tamamen bilgisayardan kaldırmak ve bunları yeniden yüklemek olacaktır.”
Açıklama, Windows güvenliğini devre dışı bırakan, planlanan görevler aracılığıyla kalıcılık oluşturan ve bir XMRIG Cryptominer yükleyen bir PowerShell komut dosyasını gizlice indiren ve bir XMRIG Cryptominer yükleyen bir PowerShell betiğini gizlice indiren 10 kötü niyetli görsel stüdyo kodu uzantısı olarak gelir.
Uzantılar, kaldırılmadan önce toplu olarak bir milyondan fazla kuruldu. Uzantıların isimleri aşağıdadır –
- Güzel – VSCODE KODU (daha güzel)
- VS Kodu için Discort Zengin Varlığı (Mark H tarafından)
- Rojo – Roblox Studio Sync (Evaera tarafından)
- Solidite Derleyici (VSCODE Geliştiricisi tarafından)
- Claude Ai (Mark H tarafından)
- Golang derleyicisi (Mark H tarafından)
- VSCODE için Chatgpt Agent (Mark H tarafından)
- Html obfuscator (Mark H tarafından)
- VSCODE için Python Obfuscator (Mark H tarafından)
- VSCODE İÇİN PUS DERSER (Mark H tarafından)
ExtensionTotal, “Saldırganlar, arka planda kripto para madenciliği madenciliği yaparken şüphe uyandırmak için taklit ettikleri meşru uzantıları bile kurarak karmaşık bir çok aşamalı saldırı yarattı.” Dedi.