Les acteurs de la menace injectent des codes malveillants dans des projets de cryptographie légitime

Les acteurs malveillants injectent désormais des codes malveillants dans des projets légitimes pour voler des actifs numériques auprès des utilisateurs sans méfiance. Selon des rapports, les chercheurs en cybersécurité ont découvert une campagne de logiciels malveillants sophistiquée qui cible les utilisateurs de crypto via des packages NPM compromis.

Selon le rapport, l'attaque cible spécifiquement les utilisateurs des portefeuilles atomiques et Exodus, les transactions détournant les attaquants en injectant des codes malveillants qui redirigent les fonds vers le portefeuille de l'attaquant. La dernière campagne est conforme à la chaîne d'attaques en cours contre les utilisateurs de crypto grâce à des attaques de chaîne d'approvisionnement logicielles.

L'origine de l'attaque provient généralement des développeurs, la plupart d'entre eux installant sans le savoir les packages NPM compromis dans leurs projets. Un tel package que j'aidentdans cette campagne est «PDF-Office», qui apparaît normalement et a l'air légitime mais contient des codes malveillants cachés. Après son installation, le package scanne l'appareil de l'utilisateur pour les portefeuilles cryptographiques installés et injecte le code malveillant capable d'intercepter et de rediriger les transactions à l'insu de l'utilisateur.

Les chercheurs en cybersécurité signalent des codes malveillants ciblant les portefeuilles cryptographiques

L'impact de cette attaque est très désastreux pour les victimes, les codes malveillants capables de rediriger silencieusement les transactions cryptographiques vers les portefeuilles contrôlées par l'attaquant. Ces attaques fonctionnent sur plusieurs actifs numériques, notamment Ethereum, Solana, XRPet USDT basé sur Tron. Le logiciel malveillant effectue effectivement cette attaque, passant les adresses du portefeuille de celle légitime à l'adresse contrôlée par l'attaquant au moment où un utilisateur souhaite envoyer des fonds.

La campagne malveillante a été découverte en inversant les chercheurs par le biais de leur analyse des packages NPM suspects. Les chercheurs ont mentionné qu'il y avait tellement de signes de comportements malveillants, notamment les connexions et les modèles de code suspects de l'URL similaires aux forfaits malveillants découverts précédemment. Ils ont mentionné qu'il y avait eu un certain nombre de campagnes qui ont tenté d'utiliser le code malveillant cette semaine. Ils croient que les attaquants utilisent cette technique pour maintenir la persistance et échapper à la détection.

«Plus récemment, une campagne lancée le 1er avril a publié un package, PDF-Office, en gestionnaire de packages NPM qui se faisait passer pour une bibliothèque pour convertir les fichiers de format PDF en documents Microsoft Office. Lorsqu'il est exécuté par le logiciel de portefeuille Crypto injecté, a dit à la réversion existant et à l'installation locale.

Mécanisme d'infection et injection de code

Selon l'examen technique, l'attaque est en plusieurs étapes et commence lorsqu'un utilisateur installe le package. Le reste se produit lorsqu'ils procèdent par le portefeuille Ident, File Extraction, l'injection de code malveillant et, finalement, le détournement des transactions. Les attaquants utilisent également des techniques d'obscurcissement pour masquer leurs intentions, ce qui rend difficile pour les outils traditionnels de le ramasser, ce qui le rend trop tard au moment où l'utilisateur découvre.

Après l'installation, l'infection commence lorsque le package malveillant exécute son ciblage de charge utile installé un logiciel de portefeuille. Le code Identifies l'emplacement des fichiers d'application du portefeuille avant de cibler le format de package ASAR utilisé par les applications basées sur Electron. Le code recherche spécifiquement des fichiers dans des chemins tels que «appdata / local / programmes / atomic / ressources / app.asar». Une fois qu'il le localise, le malware extracles archives de l'application, injecte son code malveillant, puis reconstruit les archives.

Les injections ciblent spécifiquement les fichiers JavaScript qui se trouvent dans le logiciel du portefeuille, en particulier les fichiers de fournisseurs comme «Vendors.64b69c3b00e2a7914733.js». Le malware modifie ensuite le code de gestion des transactions pour remplacer les adresses de portefeuille réelles par celles appartenant à l'attaquant à l'aide du codage Base64. Par exemple, lorsqu'un utilisateur essaie d'envoyer Ethereum, le code remplace l'adresse du destinataire par une version décodée de l'adresse.

Une fois l'infection terminée, le malware communique à l'aide d'un serveur de commande et de contrôle, envoyant des informations d'état d'installation, y compris le chemin du répertoire personnel de l'utilisateur. Cela permet à l' attaquant de trac les infections réussies et potentiellement de recueillir des informations sur les systèmes compromis. Selon RenversingLabs, le chemin malveillant a également montré des preuves de persistance, le portefeuille Web3 sur les systèmes toujours infectés même lorsque le package a été supprimé.

Cryptopolitan Academy: Vous voulez développer votre argent en 2025? Apprenez à le faire avec DeFi dans notre prochaine webclass. Enregistrez votre place