Крипто спільноти, що зазнає загроз у зв'язку з зростаючою хвилею кібератак, запущено складне програмне забезпечення для постачання, що має на меті нараження на небезпеку широко використовуваних Гаманців Web3, таких як Atomic Wallet та Exodus.
За даними ReversingLabs (RL), в центрі кампанії зловмисних атак знаходиться менеджер пакетів npm, популярна платформа для розробників JavaScript і Node.js. Зловмисники завантажують обманний пакет під назвою pdf-to-office, який неправильно представляється як утиліта для перетворення PDF-файлів у формати Microsoft Office. Натомість пакет містить шкідливі коди, призначені для захоплення локальних установок законного програмного забезпечення для крипто-гаманців.
Пакет Pdf-to-office після запуску тихо інжектує шкідливі патчі у локально встановлені версії Atomic Wallet та Exodus. Ці патчі замінюють легітимний код на модифіковану версію, яка дозволяє зловмисникам перехоплювати та перенаправляти криптовалютні транзакції. У додатку користувачі, які намагалися відправити гроші, виявляли, що їхні транзакції перенаправляються на гаманець, контрольований зловмисниками, і жодних видимих ознак втручання не було.
Атака використовувала тонку і все більш популярну техніку: замість того, щоб безпосередньо викрадати пакети з відкритим вихідним кодом, зловмисники тепер розгортають шкідливий код у локальних середовищах, виправляючи законне програмне забезпечення, вже встановлене в системі жертви.
пакет pdf-to-office вперше з’явився в npm у березні 2025 року і було випущено кілька версій підряд. Остання версія 1.1.2 була випущена 1 квітня. Дослідники RL виявили пакет, використовуючи аналіз поведінки зосереджений на машинному навчанні на платформі Spectra Assure. Було виявлено, що код містить прихований JavaScript, що є поширеним червоним прапором у недавніх кампаніях з шкідливим ПЗ в npm.
Після видалення шкідливого пакета, його вплив все ще залишався помітним. Після патчів Гаманців Web3, просто видалення підробленого npm пакета не усунуло загрозу. Жертвам доводилося повністю видаляти та перевстановлювати свої гаманці, щоб усунути тройканські компоненти та відновити цілісність гаманця.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Тривога нового троянського програмного забезпечення, що впливає на користувачів Криптовалюти! Не завантажуйте файл з цією назвою!
Крипто спільноти, що зазнає загроз у зв'язку з зростаючою хвилею кібератак, запущено складне програмне забезпечення для постачання, що має на меті нараження на небезпеку широко використовуваних Гаманців Web3, таких як Atomic Wallet та Exodus.
За даними ReversingLabs (RL), в центрі кампанії зловмисних атак знаходиться менеджер пакетів npm, популярна платформа для розробників JavaScript і Node.js. Зловмисники завантажують обманний пакет під назвою pdf-to-office, який неправильно представляється як утиліта для перетворення PDF-файлів у формати Microsoft Office. Натомість пакет містить шкідливі коди, призначені для захоплення локальних установок законного програмного забезпечення для крипто-гаманців.
Пакет Pdf-to-office після запуску тихо інжектує шкідливі патчі у локально встановлені версії Atomic Wallet та Exodus. Ці патчі замінюють легітимний код на модифіковану версію, яка дозволяє зловмисникам перехоплювати та перенаправляти криптовалютні транзакції. У додатку користувачі, які намагалися відправити гроші, виявляли, що їхні транзакції перенаправляються на гаманець, контрольований зловмисниками, і жодних видимих ознак втручання не було.
Атака використовувала тонку і все більш популярну техніку: замість того, щоб безпосередньо викрадати пакети з відкритим вихідним кодом, зловмисники тепер розгортають шкідливий код у локальних середовищах, виправляючи законне програмне забезпечення, вже встановлене в системі жертви.
пакет pdf-to-office вперше з’явився в npm у березні 2025 року і було випущено кілька версій підряд. Остання версія 1.1.2 була випущена 1 квітня. Дослідники RL виявили пакет, використовуючи аналіз поведінки зосереджений на машинному навчанні на платформі Spectra Assure. Було виявлено, що код містить прихований JavaScript, що є поширеним червоним прапором у недавніх кампаніях з шкідливим ПЗ в npm.
Після видалення шкідливого пакета, його вплив все ще залишався помітним. Після патчів Гаманців Web3, просто видалення підробленого npm пакета не усунуло загрозу. Жертвам доводилося повністю видаляти та перевстановлювати свої гаманці, щоб усунути тройканські компоненти та відновити цілісність гаманця.