Cripto moeda comunidade alvo ve giderek artan ciber ataque onda karşısında tehdit unsurları, Atomic Wallet ve Exodus dahil olmak üzere yaygın olarak kullanılan Carteira Web3'lerini tehlikeye atmayı amaçlayan sofistike bir yazılım tedarik zinciri başlattı.
De acordo com os pesquisadores da ReversingLabs (RL), no centro da campanha de ataque malicioso está o gerenciador de pacotes npm, uma plataforma popular para desenvolvedores JavaScript e Node.js. Os atacantes estão carregando um pacote enganoso chamado pdf-to-office, que é falsamente promovido como uma ferramenta para converter arquivos PDF em formatos do Microsoft Office. Em vez disso, o pacote contém códigos maliciosos projetados para comprometer as instalações locais de softwares de carteira cripto legítimos.
Após a execução do pacote Pdf-to-office, o Atomic Wallet e as versões instaladas localmente do Exodus injetam silenciosamente patches maliciosos. Esses patches substituem o código legítimo por uma versão modificada que permite aos atacantes interromper e redirecionar transações de criptomoeda. Na prática, os usuários que tentam enviar dinheiro percebem que suas transações estão sendo redirecionadas para uma carteira controlada por atacantes, sem qualquer sinal visível de intervenção.
O ataque aproveitou uma técnica que é sutil e está se tornando cada vez mais popular: em vez de assumir diretamente pacotes de código aberto upstream, os indivíduos mal-intencionados estão agora aplicando patches em softwares legítimos que já estão instalados no sistema da vítima, inserindo códigos maliciosos em ambientes locais.
o pacote pdf-to-office apareceu pela primeira vez no npm em março de 2025 e várias versões foram lançadas em sequência. A versão mais recente, 1.1.2, foi lançada em 1 de abril. Pesquisadores da RL detectaram o pacote usando a análise de comportamento focada em machine learning na plataforma Spectra Assure. Foi detectado que o código continha JavaScript oculto, que é uma bandeira vermelha comum nas campanhas de malware recentes do npm.
Foi notável que os efeitos continuaram mesmo depois que o pacote malicioso foi removido. Após os ataques às carteiras Web3, simplesmente remover o pacote npm falso não eliminou o perigo. As vítimas precisaram remover completamente e reinstalar os aplicativos de carteira para eliminar os componentes trojan e restabelecer a integridade da carteira.
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Alerta de Novo Trojan que Afeta Utilizadores de Criptomoeda! Não Baixe Este Ficheiro Chamado!
Cripto moeda comunidade alvo ve giderek artan ciber ataque onda karşısında tehdit unsurları, Atomic Wallet ve Exodus dahil olmak üzere yaygın olarak kullanılan Carteira Web3'lerini tehlikeye atmayı amaçlayan sofistike bir yazılım tedarik zinciri başlattı.
De acordo com os pesquisadores da ReversingLabs (RL), no centro da campanha de ataque malicioso está o gerenciador de pacotes npm, uma plataforma popular para desenvolvedores JavaScript e Node.js. Os atacantes estão carregando um pacote enganoso chamado pdf-to-office, que é falsamente promovido como uma ferramenta para converter arquivos PDF em formatos do Microsoft Office. Em vez disso, o pacote contém códigos maliciosos projetados para comprometer as instalações locais de softwares de carteira cripto legítimos.
Após a execução do pacote Pdf-to-office, o Atomic Wallet e as versões instaladas localmente do Exodus injetam silenciosamente patches maliciosos. Esses patches substituem o código legítimo por uma versão modificada que permite aos atacantes interromper e redirecionar transações de criptomoeda. Na prática, os usuários que tentam enviar dinheiro percebem que suas transações estão sendo redirecionadas para uma carteira controlada por atacantes, sem qualquer sinal visível de intervenção.
O ataque aproveitou uma técnica que é sutil e está se tornando cada vez mais popular: em vez de assumir diretamente pacotes de código aberto upstream, os indivíduos mal-intencionados estão agora aplicando patches em softwares legítimos que já estão instalados no sistema da vítima, inserindo códigos maliciosos em ambientes locais.
o pacote pdf-to-office apareceu pela primeira vez no npm em março de 2025 e várias versões foram lançadas em sequência. A versão mais recente, 1.1.2, foi lançada em 1 de abril. Pesquisadores da RL detectaram o pacote usando a análise de comportamento focada em machine learning na plataforma Spectra Assure. Foi detectado que o código continha JavaScript oculto, que é uma bandeira vermelha comum nas campanhas de malware recentes do npm.
Foi notável que os efeitos continuaram mesmo depois que o pacote malicioso foi removido. Após os ataques às carteiras Web3, simplesmente remover o pacote npm falso não eliminou o perigo. As vítimas precisaram remover completamente e reinstalar os aplicativos de carteira para eliminar os componentes trojan e restabelecer a integridade da carteira.