Los actores de amenaza están inyectando códigos maliciosos en proyectos de criptografía legítimos

Los actores maliciosos ahora inyectan códigos maliciosos en proyectos legítimos para robar activos digitales a usuarios desprevenidos. Según los informes, los investigadores de ciberseguridad han descubierto una sofisticada campaña de malware que se dirige a usuarios de criptografía a través de paquetes de NPM comprometidos.

Según el informe, el ataque se dirige específicamente a los usuarios de las billeteras atómicas y exodus, con el atacante secuestrar transacciones al inyectar códigos maliciosos que redirigen los fondos a la billetera del atacante. La última campaña está en línea con la cadena continua de ataques contra usuarios de cripto a través de ataques de la cadena de suministro de software.

El origen del ataque suele ser de los desarrolladores, y la mayoría de ellos instalan sin saberlo los paquetes de NPM comprometidos en sus proyectos. Uno de esos paquetes que sedenten esta campaña es "PDF-To-office", que parece normalmente y parece legítimo, pero contiene códigos maliciosos ocultos. Después de instalarlo, el paquete escanea el dispositivo del usuario para las billeteras de cifrado instaladas e inyecta el código malicioso que es capaz de interceptar y redirigir transacciones sin el conocimiento del usuario.

Los investigadores de ciberseguridad indican códigos maliciosos dirigidos a las billeteras criptográficas

El impacto de este ataque es muy grave para las víctimas, con los códigos maliciosos capaces de redirigir silenciosamente las transacciones criptográficas a las billeteras controladas por el atacante. Estos ataques funcionan en varios activos digitales, incluidos Ethereum, Solana, XRPy USDT basado en Tron. El malware realiza efectivamente este ataque, cambiando las direcciones de la billetera de la legítima a la dirección controlada por el atacante en el momento en que un usuario quiere enviar fondos.

La campaña maliciosa fue descubierta por de ReversingLabs a través de su análisis de paquetes sospechosos de NPM. Los investigadores mencionaron que hay tantos signos de comportamientos maliciosos, incluidas las conexiones de URL sospechosas y los patrones de código similares a los paquetes maliciosos descubiertos previamente. Mencionaron que ha habido una serie de campañas que han intentado usar el código malicioso esta semana. Creen que los atacantes están utilizando esta técnica para mantener la persistencia y evadir la detección.

"Más recientemente, una campaña lanzada el 1 de abril publicó un paquete, PDF-to-office, al NPM Package Manager que se hizo como una biblioteca para convertir archivos de formato PDF en documentos de Microsoft Office. Cuando se ejecuta, el paquete inyectó el código malicioso en los archivos maliciosos legítimos, según el proceso legal, según el proceso, lo que se realiza la billetera de cripto.

Mecanismo de infección e inyección de código

Según el examen técnico, el ataque es de varias etapas y comienza cuando un usuario instala el paquete. El resto ocurre cuando proceden a través de la billetera quedent, archiva latrac, la inyección de código malicioso y, en última instancia, el secuestro de transacciones. Los atacantes también usan técnicas de ofuscación para ocultar sus intenciones, lo que dificulta que las herramientas tradicionales lo recogeran, lo que hace que sea demasiado tarde para cuando descubra el usuario.

Después de la instalación, la infección comienza cuando el paquete malicioso ejecuta su carga de carga útil para el software de billetera instalado. El código quedenten la ubicación de los archivos de aplicación de la billetera antes de orientar el formato del paquete ASAR utilizado por aplicaciones basadas en ELECtron. El código busca específicamente archivos en rutas como "AppData/Local/Programas/Atomic/Resources/App.Asar". Una vez que lo ubica, el malwaretracel archivo de aplicaciones, inyecta su código malicioso y luego reconstruye el archivo.

Las inyecciones se dirigen específicamente a los archivos JavaScript que están dentro del software de la billetera, especialmente archivos de proveedores como "proveedores.64B69C3B00E2A7914733.js". Luego, el malware modifica el código de manejo de la transacción para reemplazar las direcciones de la billetera real con las que pertenecen al atacante utilizando la codificación Base64. Por ejemplo, cuando un usuario intenta enviar Ethereum, el código reemplaza la dirección del destinatario con una versión decodificada de la dirección.

Una vez que se completa la infección, el malware se comunica con un servidor de comando y control, enviando información de estado de instalación, incluida la ruta del directorio de inicio del usuario. Esto permite al atacante trazar trac y potencialmente recopilar información sobre los sistemas comprometidos. Según ReversingLabs, la ruta maliciosa también ha mostrado evidencia de persistencia, con la billetera Web3 en sistemas aún infectados incluso cuando se ha eliminado el paquete.

Academia Cryptopolitan: ¿Quieres hacer crecer tu dinero en 2025? Aprenda cómo hacerlo con DeFi en nuestra próxima clase web. Guarda tu lugar