Новый вредоносный софт крадет средства из кошельков Ethereum, XRP и Solana
Исследователи в области кибербезопасности выявили операции с вредоносным ПО, нацеленным на держателей Ethereum, USDT, XRP и Solana. Это ПО компрометирует пакеты программного обеспечения, используемые разработчиками, позволяя выполнять несанкционированные криптовалютные транзакции без ведома пользователей.
Механизм атаки
- Атака начинается, когда разработчики случайно включают скомпрометированные пакеты менеджера узлов (NPM) в свои проекты.
- Один из таких пакетов, "pdf-to-office", выглядит легитимным, но содержит вредоносный код.
- Вредоносное ПО ищет установленные криптокошельки и внедряет код для перехвата транзакций.
Влияние на несколько криптовалют
- Вредоносное ПО может перенаправлять транзакции по основным криптовалютам, включая Ethereum, USDT, XRP и Solana.
- Это свидетельствует о значительном ухудшении атак на цепочку поставок программного обеспечения против пользователей криптовалют.
Технические аспекты
- Исследователи идентифицировали кампанию через сканирование подозрительных пакетов NPM, обнаружив тревожные знаки, такие как сомнительные URL и знакомые структуры угроз.
- Вредоносное ПО использует сложные методы уклонения и работает через несколько этапов.
- Оно нацеливается на файлы приложений кошельков в заранее определенных местах перед выполнением своего вредоносного кода.
Отсутствие видимых признаков
- Транзакции выглядят нормальными в интерфейсе кошелька, при этом вредоносное ПО заменяет действительные адреса получателей на контролируемые злоумышленниками с использованием base64-кодирования.
- Пользователи могут понять, что их средства пропали, только проверив записи блокчейна после транзакции.
Пользователям криптовалют рекомендуется тщательно проверять все адреса транзакций. Разработчики также должны обеспечивать безопасность любых пакетов, интегрированных в их криптовалютные проекты.