Tiền điện tử cộng đồng nhắm đến và trước làn sóng tấn công mạng ngày càng gia tăng, các yếu tố đe dọa đã khởi động một chuỗi cung ứng phần mềm tinh vi nhằm mục đích làm nguy hiểm các Ví Web3 phổ biến như Atomic Wallet và Exodus.
Theo các nhà nghiên cứu của ReversingLabs (RL), trung tâm của chiến dịch tấn công độc hại là trình quản lý gói npm, một nền tảng phổ biến cho các nhà phát triển JavaScript và Node.js. Các kẻ tấn công tải xuống một gói lừa đảo có tên pdf-to-office được giới thiệu sai như một tiện ích để chuyển đổi các tệp PDF sang định dạng Microsoft Office. Thay vào đó, gói này chứa mã độc được thiết kế để chiếm đoạt cài đặt cục bộ của các phần mềm ví điện tử hợp pháp.
Sau khi gói Pdf-to-office được chạy, nó âm thầm tiêm các bản vá độc hại vào các phiên bản được cài đặt địa phương của Atomic Wallet và Exodus. Những bản vá này thay thế mã hợp lệ bằng một phiên bản đã được sửa đổi, cho phép kẻ tấn công ngăn chặn và chuyển hướng các giao dịch tiền điện tử. Trong ứng dụng, người dùng cố gắng gửi tiền phát hiện giao dịch của họ được chuyển hướng đến một ví do kẻ tấn công kiểm soát mà không có bất kỳ dấu hiệu can thiệp nào rõ ràng.
Cuộc tấn công đã tận dụng một kỹ thuật đang ngày càng trở nên phổ biến: Những kẻ xấu giờ đây không chiếm đoạt trực tiếp các gói mã nguồn mở upstream, mà thay vào đó, chúng áp dụng các bản vá cho phần mềm hợp pháp đã được cài đặt trên hệ thống của nạn nhân, từ đó cài đặt mã độc vào các môi trường cục bộ.
Gói pdf-to-office lần đầu tiên xuất hiện trên npm vào tháng 3 năm 2025 và đã có nhiều phiên bản liên tiếp được phát hành. Phiên bản mới nhất 1.1.2 đã được phát hành vào ngày 1 tháng 4. Các nhà nghiên cứu RL đã phát hiện gói này bằng cách sử dụng phân tích hành vi tập trung vào học máy trên nền tảng Spectra Assure. Mã được phát hiện chứa JavaScript ẩn, điều này đã trở thành một cảnh báo đỏ phổ biến trong các chiến dịch phần mềm độc hại gần đây trên npm.
Điều đáng chú ý là tác động của các gói độc hại vẫn tiếp diễn ngay cả sau khi chúng bị xóa. Sau khi các ví Web3 bị vá, việc chỉ xóa gói npm giả không loại bỏ được mối nguy hiểm. Các nạn nhân cần phải xóa hoàn toàn và cài đặt lại các ứng dụng ví để loại bỏ các thành phần trojan và khôi phục tính toàn vẹn của ví.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Cảnh báo Trojan mới ảnh hưởng đến người dùng Tiền điện tử! Đừng tải tệp có tên này!
Tiền điện tử cộng đồng nhắm đến và trước làn sóng tấn công mạng ngày càng gia tăng, các yếu tố đe dọa đã khởi động một chuỗi cung ứng phần mềm tinh vi nhằm mục đích làm nguy hiểm các Ví Web3 phổ biến như Atomic Wallet và Exodus.
Theo các nhà nghiên cứu của ReversingLabs (RL), trung tâm của chiến dịch tấn công độc hại là trình quản lý gói npm, một nền tảng phổ biến cho các nhà phát triển JavaScript và Node.js. Các kẻ tấn công tải xuống một gói lừa đảo có tên pdf-to-office được giới thiệu sai như một tiện ích để chuyển đổi các tệp PDF sang định dạng Microsoft Office. Thay vào đó, gói này chứa mã độc được thiết kế để chiếm đoạt cài đặt cục bộ của các phần mềm ví điện tử hợp pháp.
Sau khi gói Pdf-to-office được chạy, nó âm thầm tiêm các bản vá độc hại vào các phiên bản được cài đặt địa phương của Atomic Wallet và Exodus. Những bản vá này thay thế mã hợp lệ bằng một phiên bản đã được sửa đổi, cho phép kẻ tấn công ngăn chặn và chuyển hướng các giao dịch tiền điện tử. Trong ứng dụng, người dùng cố gắng gửi tiền phát hiện giao dịch của họ được chuyển hướng đến một ví do kẻ tấn công kiểm soát mà không có bất kỳ dấu hiệu can thiệp nào rõ ràng.
Cuộc tấn công đã tận dụng một kỹ thuật đang ngày càng trở nên phổ biến: Những kẻ xấu giờ đây không chiếm đoạt trực tiếp các gói mã nguồn mở upstream, mà thay vào đó, chúng áp dụng các bản vá cho phần mềm hợp pháp đã được cài đặt trên hệ thống của nạn nhân, từ đó cài đặt mã độc vào các môi trường cục bộ.
Gói pdf-to-office lần đầu tiên xuất hiện trên npm vào tháng 3 năm 2025 và đã có nhiều phiên bản liên tiếp được phát hành. Phiên bản mới nhất 1.1.2 đã được phát hành vào ngày 1 tháng 4. Các nhà nghiên cứu RL đã phát hiện gói này bằng cách sử dụng phân tích hành vi tập trung vào học máy trên nền tảng Spectra Assure. Mã được phát hiện chứa JavaScript ẩn, điều này đã trở thành một cảnh báo đỏ phổ biến trong các chiến dịch phần mềm độc hại gần đây trên npm.
Điều đáng chú ý là tác động của các gói độc hại vẫn tiếp diễn ngay cả sau khi chúng bị xóa. Sau khi các ví Web3 bị vá, việc chỉ xóa gói npm giả không loại bỏ được mối nguy hiểm. Các nạn nhân cần phải xóa hoàn toàn và cài đặt lại các ứng dụng ví để loại bỏ các thành phần trojan và khôi phục tính toàn vẹn của ví.