威脅參與者將惡意代碼注入合法的加密項目

惡意演員現在正在將惡意代碼注入合法的項目中，以從毫無戒心的用戶中竊取數字資產。據報道，網絡安全研究人員發現了一項複雜的惡意軟件活動，該活動通過受損的NPM軟件包來針對加密用戶。

根據該報告，攻擊專門針對原子錢包和出埃及記錢包的用戶，攻擊者通過向攻擊者的錢包重定向的惡意代碼劫持了交易。最新的廣告系列與通過軟件供應鏈攻擊對加密用戶的持續攻擊鏈一致。

攻擊的起源通常來自開發人員，其中大多數人在不知不覺中在其項目中安裝了受損的NPM軟件包。我在此廣告系列中dent的一個這樣的軟件包是“ PDF-To-To-Office”，它看起來正常，看起來合法，但包含隱藏的惡意代碼。安裝後，軟件包將掃描用戶的設備是否安裝了加密錢包，並注入了能夠在沒有用戶知識的情況下攔截和重定向交易的惡意代碼。

網絡安全研究人員標記針對加密錢包的惡意代碼

這次攻擊的影響對於受害者來說是非常可怕的，惡意代碼能夠將加密貨幣交易默默地重定向到由攻擊者控制的錢包。這些攻擊在幾個數字資產中起作用，包括 Ethereum， Solana， XRP和基於 Tron的USDT。惡意軟件有效地進行了此攻擊，將錢包地址從合法的地址轉換爲用戶想要發送資金的那一刻的攻擊者控制地址。

ReversingLabs研究人員通過對可疑NPM軟件包的分析發現了惡意運動研究人員提到，惡意行爲的跡象很多，包括可疑的URL連接和代碼模式，類似於先前發現的惡意軟件包。他們提到本週有許多活動試圖使用惡意代碼。他們認爲，攻擊者正在使用這種技術來保持持久性和逃避檢測。

“Most recently, a campaign launched on April 1 published a package, pdf-to-office, to the npm package manager that posed as a library for converting PDF format files to Microsoft Office documents. When executed, the package injected malicious code into legitimate, locally-installed crypto wallet software Atomic Wallet and Exodus, overwriting existing, non-malicious files in the process,” ReversingLabs said.

感染機制和密碼注射

根據技術檢查，攻擊是多階段的，當用戶安裝軟件包時開始。其餘的會發生在他們穿過錢包我dent時，提出trac，惡意代碼注入並最終劫持交易。攻擊者還使用混淆技術來隱藏其意圖，使傳統工具很難拾起它，這使得用戶發現時爲時已晚。

安裝後，當惡意軟件包執行其有效載荷定位安裝的錢包軟件時，感染開始。在針對基於Electron的應用程序使用的ASAR包裝格式之前，代碼dentifies ifies ifies的位置。該代碼專門搜索路徑中的文件，例如“ AppData/local/program/atomic/resources/app.asar”。一旦找到它，惡意軟件tractracthe應用程序存檔，注入惡意代碼，然後重建檔案。

注射專門針對錢包軟件中的JavaScript文件，尤其是供應商文件，例如“供應商”。64B69C3B00E2A7914733.JS”。然後，惡意軟件修改了交易處理代碼，以使用base64編碼替換攻擊者的真實錢包地址。例如，當用戶試圖發送 Ethereum時，代碼用該地址的解碼版本代替了收件人地址。

感染完成後，惡意軟件使用命令和控制服務器進行通信，發送安裝狀態信息，包括用戶的主目錄路徑。這使攻擊者能夠trac成功感染並有可能收集有關損害系統的信息。根據ReversingLabs的說法，惡意路徑也顯示出持久性的證據，即使已刪除了包裝，系統仍在系統上仍感染的Web3錢包。

2025年DeFi賺取被動收入的新方法。瞭解更多