影響加密貨幣用戶的新特洛伊木馬警報！請勿下載名爲此的文件！

面對針對加密貨幣社區的越來越多的網絡攻擊浪潮，威脅行爲者推出了一個復雜的軟件供應鏈，旨在破壞廣泛使用的 Web3 錢包，包括 Atomic Wallet 和 Exodus。

ReversingLabs (RL) 研究人員表示，惡意攻擊活動的中心是一個流行的平台，專爲 JavaScript 和 Node.js 開發者提供的 npm 包管理器。攻擊者正在下載一個被錯誤地宣傳爲將 PDF 文件轉換爲 Microsoft Office 格式的輔助工具的欺詐性包，名爲 pdf-to-office。相反，這個包攜帶了旨在劫持合法加密貨幣錢包軟件本地安裝的惡意代碼。

Pdf-to-office 套件運行後，會悄悄地向 Atomic Wallet 和 Exodus 的本地安裝版本注入惡意補丁。這些補丁將合法代碼替換爲修改過的版本，使攻擊者能夠阻止和重定向加密貨幣交易。在應用程序中，試圖發送資金的用戶發現，他們的交易被重定向到由攻擊者控制的錢包，並且沒有任何明顯的幹預跡象。

攻擊利用了一種越來越流行的技術：惡意人士現在不再直接控制上遊的開源軟件包，而是通過對受害者系統中已安裝的合法軟件進行補丁，來將惡意代碼植入本地環境。

pdf-to-office套件首次出現在2025年3月的npm上，並連續發布了多個版本。最新版本1.1.2於4月1日發布。RL研究人員利用Spectra Assure平台上的機器學習驅動行爲分析檢測到該套件。代碼中發現包含隱藏的JavaScript，這是最近npm惡意軟件活動中的一個常見紅旗。

惡意軟件包被刪除後，其影響仍然存在，這引人注目。Web3錢包在被修補後，僅僅刪除僞造的npm包並沒有消除危險。受害者需要完全卸載並重新安裝錢包應用程序，以去除木馬組件並恢復錢包的完整性。