TL; DR-ReversingLabs, yerel yazılımı işlemleri ele geçirmek için sessizce yamalayarak atomik ve Çıkış kripto cüzdan kullanıcılarını hedefleyen kötü niyetli bir NPM paketi olan “PDF-Office” tanımladı. Kötü amaçlı yazılım alıcı cüzdan adreslerini değiştirir ve kaldırıldıktan sonra bile kalıcı kalır.
Siber güvenlik firması ReversingLabs (RL), aktörlerin kripto para birimi kullanıcılarını hedeflemek için kullandığı yeni bir taktik tehdidi ortaya çıkardı. Hackread.com ile paylaşılan son araştırmaları, siber suçluların kullandığını ortaya koyuyor. NPM (Düğüm Paket Yöneticisi) Ağı, özellikle atom cüzdanı ve göçü hedefleyen yerel olarak yüklü kripto para birimi cüzdan yazılımına kötü amaçlı kod enjekte etmek için.
Bu saldırı, meşru yazılım dosyalarının kötü niyetli yamasını içerir ve saldırganların alıcı cüzdan adreslerini sessizce değiştirerek kripto para transferlerini kesmesine izin verir.
Sahte paket ve kötü niyetli enjeksiyon
RL araştırmacıları, PDF dosyalarını yanlış bir şekilde görünen “PDF-Office” adlı kötü niyetli bir NPM paketi keşfettiler. Microsoft Office belgeleri. Ancak, yürütme üzerine, Atom Cüzdanı ve Exodus kurulum dizinleri içindeki anahtar dosyaları değiştirmek için kötü amaçlı bir yük dağıttı.
Kötü amaçlı yazılım, giden kripto para birimi işlemleri için hedef adresini gizlice değiştirerek, truva işlemleri ile meşru dosyaların üzerine yazılır. Bu, cüzdanın temel işlevselliği kullanıcıya değişmeden göründüğü için saldırganların uzun bir süre boyunca tespit edilmemelerini sağlar.
ReversingLabs’ın otomatik spektrumları, Platform’un bu paketi şüpheli olarak işaretlediği için, önceki NPM tabanlı kötü amaçlı yazılım kampanyalarıyla tutarlı davranışlar sergiledi. Paketin içinde kötü niyetli niyet ortaya çıkaran gizli bir JavaScript dosyası da bulundu.
Yükü hedefledi "atomic/resources/app.asar" arşivlemek Atom cüzdanıdizin ve "src/app/ui/index.js" dosyaya girmek Çıkış.
“Atomik cüzdanlar da bu kötü niyetli paketin tek hedefi değildi. Blog yazısı.
Saldırganlar belirli atom cüzdan versiyonlarını (2.91.5 ve 2.90.6) hedeflemelerine ve hedeflemelerinde sofistike olduğunu gösterenler. Kötü amaçlı dosyalar buna göre adlandırıldı ve yüklü sürümden bağımsız olarak doğru dosyanın üzerine yazıldı.
Araştırmacı, “Kötü niyetli aktörlerin izlerini örtme ve olay müdahale çabalarını engelleme ya da sadece daha fazla bilgi verme çabası gibi görünen şeyleri de gözlemledik” dedi.
Kalıcılık ve etki
Bu kampanyanın özellikle sorunlu bir parçası onun kalıcılığıdır. Araştırma, kötü niyetli olsa bile “pdf-to-office”Paket kurbanın sisteminden kaldırıldı, tehlikeye atılan kripto para birimi cüzdan yazılımı enfekte olmaya devam ediyor.
Dahası, Atomik Cüzdan ve Çıkış içindeki truva işlemleri çalışmaya devam ederek fonları saldırganların Web3 cüzdanına sessizce yönlendirir. Tehdidi ortadan kaldırmanın tek etkili yolu, etkilenen cüzdan yazılımının tamamen kaldırılması ve yeniden kurulmasıdır.
İyi haber şu ki, resmi atom cüzdanı ve Çıkış cüzdanı montajcıları etkilenmedi, ancak uzlaşma kötü niyetli olduktan sonra gerçekleşiyor ”pdf-to-office”Paket yüklenir ve yürütülür.
Bu kampanyanın bir önceki RL’ye benzer olduğunu belirtmek gerekir Mart ayı sonunda bildirildiiki kötü niyetli NPM paketi kullanan, "ethers-provider2" Ve "ethers-providerz" Ters bir kabuk sunmak için meşru “eter” paketini yamalayan bir yük sunmak için.
Bu nedenle kripto para birimi sektörü, yazılım tedarik zinciri saldırılarından artan risklerle karşı karşıyadır. Bu saldırılar daha sofistike ve frekans odaklı hale geliyor ve yazılım üreticilerinden ve son kullanıcı kuruluşlarından artan uyanıklık gerektiriyor.