Une vague croissante d'attaques cybernétiques ciblant la communauté Crypto a lancé une chaîne d'approvisionnement logicielle sophistiquée visant à compromettre des portefeuilles Web3 couramment utilisés, y compris Atomic Wallet et Exodus.
Selon les chercheurs de ReversingLabs (RL), le gestionnaire de paquets npm, qui est une plateforme populaire pour les développeurs JavaScript et Node.js, se trouve au cœur d'une campagne d'attaque malveillante. Les attaquants téléchargent un package trompeur appelé pdf-to-office, présenté à tort comme un utilitaire pour convertir des fichiers PDF au format Microsoft Office. Au lieu de cela, le package contient des codes malveillants conçus pour compromettre les installations locales de logiciels de portefeuille Crypto légitimes.
Après l'exécution du package Pdf-to-office, il injecte silencieusement des patches malveillants dans les versions localement installées d'Atomic Wallet et d'Exodus. Ces patches remplacent le code légitime par une version modifiée permettant aux attaquants d'intercepter et de rediriger les transactions de crypto-monnaie. Dans l'application, les utilisateurs essayant d'envoyer de l'argent ont constaté que leurs transactions étaient redirigées vers un portefeuille contrôlé par des attaquants et qu'il n'y avait aucun signe visible d'intervention.
L'attaque a tiré parti d'une technique de plus en plus populaire et subtile : les personnes malintentionnées n'essaient plus de prendre le contrôle directement des paquets open source en amont, mais appliquent des correctifs aux logiciels légitimes déjà installés sur le système de la victime, intégrant ainsi du code malveillant dans les environnements locaux.
Le package pdf-to-office est apparu pour la première fois en mars 2025 sur npm et plusieurs versions ont été publiées consécutivement. La dernière version, 1.1.2, a été lancée le 1er avril. Les chercheurs de RL ont détecté le package en utilisant l'analyse comportementale axée sur l'apprentissage automatique sur la plateforme Spectra Assure. Il a été découvert que le code contenait JavaScript caché, un drapeau rouge courant dans les campagnes malveillantes npm récentes.
Il était remarquable que les effets persistent même après la suppression des paquets malveillants. Après que les portefeuilles Web3 aient été compromis, le simple retrait du faux paquet npm n'a pas éliminé le danger. Les victimes devaient désinstaller complètement leurs applications de portefeuille et les réinstaller pour supprimer les composants trojan et rétablir l'intégrité de leur portefeuille.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Nouvelle alerte de Trojan affectant les utilisateurs de Cryptomonnaie ! Ne téléchargez pas ce fichier nommé !
Une vague croissante d'attaques cybernétiques ciblant la communauté Crypto a lancé une chaîne d'approvisionnement logicielle sophistiquée visant à compromettre des portefeuilles Web3 couramment utilisés, y compris Atomic Wallet et Exodus.
Selon les chercheurs de ReversingLabs (RL), le gestionnaire de paquets npm, qui est une plateforme populaire pour les développeurs JavaScript et Node.js, se trouve au cœur d'une campagne d'attaque malveillante. Les attaquants téléchargent un package trompeur appelé pdf-to-office, présenté à tort comme un utilitaire pour convertir des fichiers PDF au format Microsoft Office. Au lieu de cela, le package contient des codes malveillants conçus pour compromettre les installations locales de logiciels de portefeuille Crypto légitimes.
Après l'exécution du package Pdf-to-office, il injecte silencieusement des patches malveillants dans les versions localement installées d'Atomic Wallet et d'Exodus. Ces patches remplacent le code légitime par une version modifiée permettant aux attaquants d'intercepter et de rediriger les transactions de crypto-monnaie. Dans l'application, les utilisateurs essayant d'envoyer de l'argent ont constaté que leurs transactions étaient redirigées vers un portefeuille contrôlé par des attaquants et qu'il n'y avait aucun signe visible d'intervention.
L'attaque a tiré parti d'une technique de plus en plus populaire et subtile : les personnes malintentionnées n'essaient plus de prendre le contrôle directement des paquets open source en amont, mais appliquent des correctifs aux logiciels légitimes déjà installés sur le système de la victime, intégrant ainsi du code malveillant dans les environnements locaux.
Le package pdf-to-office est apparu pour la première fois en mars 2025 sur npm et plusieurs versions ont été publiées consécutivement. La dernière version, 1.1.2, a été lancée le 1er avril. Les chercheurs de RL ont détecté le package en utilisant l'analyse comportementale axée sur l'apprentissage automatique sur la plateforme Spectra Assure. Il a été découvert que le code contenait JavaScript caché, un drapeau rouge courant dans les campagnes malveillantes npm récentes.
Il était remarquable que les effets persistent même après la suppression des paquets malveillants. Après que les portefeuilles Web3 aient été compromis, le simple retrait du faux paquet npm n'a pas éliminé le danger. Les victimes devaient désinstaller complètement leurs applications de portefeuille et les réinstaller pour supprimer les composants trojan et rétablir l'intégrité de leur portefeuille.