暗号資産ユーザーに影響を与える新しいトロイの木馬の警告！この名前のファイルは絶対にダウンロードしないでください！

暗号資産コミュニティを標的にした増加するサイバー攻撃の波に対抗して、Atomic WalletやExodusを含む一般的に使用されているWeb3ウォレットを危険にさらすことを目的とした高度なソフトウェアサプライチェーンが開始されました。

ReversingLabs (RL)の研究者によると、悪意のある攻撃キャンペーンの中心には、JavaScriptおよびNode.js開発者向けの人気プラットフォームであるnpmパッケージマネージャーがあります。攻撃者は、PDFファイルをMicrosoft Office形式に変換するためのツールとして誤って紹介されたpdf-to-officeという詐欺的なパッケージをインストールしています。その代わりに、このパッケージは、合法的な暗号資産ウォレットソフトウェアのローカルインストールを乗っ取るために設計された悪意のあるコードを含んでいます。

Pdf-to-officeパッケージが実行されると、Atomic WalletおよびExodusのローカルにインストールされたバージョンに静かに悪意のあるパッチが挿入されます。これらのパッチは、正当なコードを変更されたバージョンに置き換え、攻撃者が暗号資産取引を妨害し、リダイレクトすることを可能にします。アプリケーションでは、送金を試みるユーザーは、取引が攻撃者によって制御されているウォレットにリダイレクトされていることを発見し、目に見える干渉の兆候がないことに気付きました。

攻撃は、ますます人気が高まっている技術を利用しました：悪意のある者は、もはや直接 upstream のオープンソースパッケージを奪取するのではなく、犠牲者のシステムにすでにインストールされている正当なソフトウェアにパッチを適用することで、悪意のあるコードをローカル環境に埋め込んでいます。

pdf-to-officeパッケージは最初に2025年3月にnpmに登場し、連続して複数のバージョンが公開されました。最新バージョンの1.1.2は4月1日にリリースされました。RL研究者は、Spectra Assureプラットフォームでの機械学習に基づく行動分析を使用してパッケージを検出しました。コードには、最近のnpmの悪意のあるソフトウェアキャンペーンで一般的な赤旗である隠されたJavaScriptが含まれていることが確認されました。

悪意のあるパッケージが削除された後でも、その影響が続くのは注目に値しました。Web3ウォレットがパッチを当てられた後、偽のnpmパッケージを削除するだけでは危険が取り除かれませんでした。被害者はトロイの木馬コンポーネントを削除し、ウォレットの完全性を再確保するために、ウォレットアプリケーションを完全に削除して再インストールしなければなりませんでした。