Удовлетворительные операции, ориентированные на владельцев криптовалют Ethereum, XRP и Solan, подвергались воздействию исследователей кибербезопасности. Угроза атакует атомные владельцы кошелька и исходного анализа, используя скомпрометированные программные пакеты, установленные разработчиками, не зная о вредоносном ПО, содержащном в коде.
Улвнативное ПО, при исполнении, может отправлять криптовалюту по адресу с удержанием вора без индикации владельца кошелька.
Как работает атака
Исследователи говорят, что атака начинается, когда разработчики невольно включают в себя пакеты «Диспетчер пакетов узлов» (NPM) в свои проекты. Один такой пакет под названием «PDF-to-Affice» кажется подлинным на поверхности, но скрывает вредоносный код внутри.
Пакет ищет компьютеры для установленных крипто -кошельков, а затем вводит код, который перехватывает транзакции. Это позволяет преступникам красть деньги без осознания или разрешения пользователя.
Несколько криптовалют в опасности
Исследователи безопасности пришли к выводу, что вредоносное ПО может отвлечь транзакции на во многих ведущих криптовалютах мира. Они включают Ethereum, USDT, XRP и Solana. Атака — это то, что исследователи идентифицируют как «эскалацию в текущем таргетировании пользователей криптовалюты через атаки цепочки поставок программного обеспечения».
Технические детали раскрывают сложные методы
ReversingLabs обнаружил кампанию, сканируя подозрительные пакеты NPM. Их анализ выявил несколько предупреждающих знаков, таких как подозрительные ассоциации URL и структуры кодов, соответствующие хорошо известным угрозам.
В атаке используются сложные методы уклонения от инструментов безопасности и являются многоэтапными по своей природе. Инфекция начинается, когда пакет вредоносных программ выполняет свой код, предназначенный для программного обеспечения для кошелька на машине цели. В частности, он ищет файлы приложений в некоторых заранее определенных путях, прежде чем вводить его вредоносный код.
Нет визуальных предупреждающих знаков пользователя
Согласно отчетам, эффект этого вредоносного ПО может быть катастрофическим, поскольку транзакции кажутся абсолютно нормальными на границе раздела кошелька. Код заменяет действительные адреса получателя с контролируемыми злоумышленниками адресами с помощью кодирования BASE64.
Например, когда пользователь пытается отправить ETH, вредоносная программа заменяет адрес получателя адресом злоумышленника, который скрывается в кодированной форме. Пользователи не имеют никакого визуального подсказки, что что -то не так, пока они не проверяют запись блокчейна и обнаруживают, что их деньги пошли по неожиданному адресу.
Угроза безопасности указывает на увеличение вреда для владельцев криптовалюты, которые, возможно, не знают, что их транзакции не будут скомпрометированы до тех пор, пока средства пропадают. МОДА ОПЕРСА Атаки является свидетельством того, как хакеры продолжают придумывать новые методы поминки цифровых активов.
Пользователи криптовалюты должны быть чрезвычайно осторожны при проверке всех адресов транзакций. Разработчикам также рекомендуется дважды проверить безопасность любых пакетов, которые они устанавливают на криптовалюту, связанные с проектами.
Показанное изображение с корпоративной сети планеты, диаграмма от TradingView
