أطلق برنامج متطور لسلسلة التوريد يهدف إلى تهديد محافظ Web3 المستخدمة بشكل شائع، بما في ذلك Atomic Wallet و Exodus، في مواجهة موجة متزايدة من الهجمات الإلكترونية التي تستهدف مجتمع مجال العملات الرقمية.
وفقًا للباحثين في ReversingLabs (RL)، يقع مدير الحزم npm، وهو منصة شهيرة لمطوري JavaScript وNode.js، في قلب حملة الهجوم الخبيث. يقوم المهاجمون بتحميل حزمة خداعية تُعرف باسم pdf-to-office، تم الترويج لها بشكل خاطئ كأداة لتحويل ملفات PDF إلى تنسيقات Microsoft Office. بدلاً من ذلك، تحتوي الحزمة على أكواد خبيثة مصممة للاستيلاء على التثبيتات المحلية لبرامج محفظة الكريبتو الشرعية.
بعد تشغيل حزمة Pdf-to-office، يتم حقن تصحيحات ضارة بهدوء في الإصدارات المثبتة محلياً من Atomic Wallet و Exodus. هذه التصحيحات تستبدل الكود الشرعي بنسخة معدلة تسمح للمهاجمين بعرقلة وإعادة توجيه معاملات العملات الرقمية. في التطبيق، كان المستخدمون الذين يحاولون إرسال الأموال يكتشفون أن معاملاتهن تم توجيهها إلى محفظة يتحكم بها المهاجمون دون أي علامات تدل على تدخل مرئي.
استفاد الهجوم من تقنية رفيعة المستوى تزداد شعبية: لم يعد الأشخاص ذوو النوايا السيئة يستولون مباشرة على حزم المصادر المفتوحة upstream، بل يقومون بتطبيق تصحيحات على البرمجيات الشرعية المثبتة بالفعل في نظام الضحية لزرع الشفرات الضارة في البيئات المحلية.
ظهر حزمة pdf-to-office لأول مرة في مارس 2025 على npm وتم إصدار عدة إصدارات متتالية. تم إصدار الإصدار الأخير 1.1.2 في 1 أبريل. استخدم الباحثون في RL تحليل السلوك المعتمد على التعلم الآلي على منصة Spectra Assure لاكتشاف الحزمة. تم اكتشاف أن الشيفرة تحتوي على JavaScript مخفي، وهو علم أحمر شائع في حملات البرمجيات الخبيثة الأخيرة على npm.
كان من اللافت أن آثار الحزمة الضارة استمرت حتى بعد حذفها. بعد تصحيح محافظ Web3، لم تقم إزالة حزمة npm المزيفة وحدها بإزالة الخطر. كان على الضحايا حذف تطبيقات المحافظ وإعادة تحميلها بالكامل لإزالة مكونات trojan واستعادة سلامة المحفظة.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
إنذار جديد من فيروس تروجان يؤثر على مستخدمي العملات الرقمية! لا تقم بتحميل الملف الذي يحمل هذا الاسم!
أطلق برنامج متطور لسلسلة التوريد يهدف إلى تهديد محافظ Web3 المستخدمة بشكل شائع، بما في ذلك Atomic Wallet و Exodus، في مواجهة موجة متزايدة من الهجمات الإلكترونية التي تستهدف مجتمع مجال العملات الرقمية.
وفقًا للباحثين في ReversingLabs (RL)، يقع مدير الحزم npm، وهو منصة شهيرة لمطوري JavaScript وNode.js، في قلب حملة الهجوم الخبيث. يقوم المهاجمون بتحميل حزمة خداعية تُعرف باسم pdf-to-office، تم الترويج لها بشكل خاطئ كأداة لتحويل ملفات PDF إلى تنسيقات Microsoft Office. بدلاً من ذلك، تحتوي الحزمة على أكواد خبيثة مصممة للاستيلاء على التثبيتات المحلية لبرامج محفظة الكريبتو الشرعية.
بعد تشغيل حزمة Pdf-to-office، يتم حقن تصحيحات ضارة بهدوء في الإصدارات المثبتة محلياً من Atomic Wallet و Exodus. هذه التصحيحات تستبدل الكود الشرعي بنسخة معدلة تسمح للمهاجمين بعرقلة وإعادة توجيه معاملات العملات الرقمية. في التطبيق، كان المستخدمون الذين يحاولون إرسال الأموال يكتشفون أن معاملاتهن تم توجيهها إلى محفظة يتحكم بها المهاجمون دون أي علامات تدل على تدخل مرئي.
استفاد الهجوم من تقنية رفيعة المستوى تزداد شعبية: لم يعد الأشخاص ذوو النوايا السيئة يستولون مباشرة على حزم المصادر المفتوحة upstream، بل يقومون بتطبيق تصحيحات على البرمجيات الشرعية المثبتة بالفعل في نظام الضحية لزرع الشفرات الضارة في البيئات المحلية.
ظهر حزمة pdf-to-office لأول مرة في مارس 2025 على npm وتم إصدار عدة إصدارات متتالية. تم إصدار الإصدار الأخير 1.1.2 في 1 أبريل. استخدم الباحثون في RL تحليل السلوك المعتمد على التعلم الآلي على منصة Spectra Assure لاكتشاف الحزمة. تم اكتشاف أن الشيفرة تحتوي على JavaScript مخفي، وهو علم أحمر شائع في حملات البرمجيات الخبيثة الأخيرة على npm.
كان من اللافت أن آثار الحزمة الضارة استمرت حتى بعد حذفها. بعد تصحيح محافظ Web3، لم تقم إزالة حزمة npm المزيفة وحدها بإزالة الخطر. كان على الضحايا حذف تطبيقات المحافظ وإعادة تحميلها بالكامل لإزالة مكونات trojan واستعادة سلامة المحفظة.