Gli autori malintenzionati stanno ora iniettando codici dannosi in progetti legittimi per rubare risorse digitali a utenti ignari. Secondo i rapporti, i ricercatori di sicurezza informatica hanno scoperto una sofisticata campagna malware che prende di mira gli utenti di criptovalute attraverso pacchetti npm compromessi.
Secondo il rapporto, l'attacco prende di mira specificamente gli utenti dei portafogli Atomic ed Exodus, con l'aggressore che dirotta le transazioni iniettando codici dannosi che reindirizzano i fondi al portafoglio dell'aggressore. L'ultima campagna è in linea con la catena di attacchi in corso contro gli utenti di criptovalute attraverso attacchi alla catena di fornitura del software.
L'origine dell'attacco è solitamente da parte degli sviluppatori, la maggior parte dei quali installa inconsapevolmente i pacchetti npm compromessi nei propri progetti. Uno di questi pacchetti identificato in questa campagna è "pdf-to-office", che appare normalmente e sembra legittimo ma contiene codici dannosi nascosti. Dopo l'installazione, il pacchetto esegue la scansione del dispositivo dell'utente alla ricerca di portafogli crittografici installati e inietta il codice dannoso in grado di intercettare e reindirizzare le transazioni all'insaputa dell'utente.
I ricercatori di sicurezza informatica segnalano codici dannosi che prendono di mira i portafogli crittografici
L'impatto di questo attacco è molto disastroso per le vittime, poiché i codici dannosi sono in grado di reindirizzare silenziosamente le transazioni crittografiche ai portafogli controllati dall'aggressore. Questi attacchi funzionano su diverse risorse digitali, tra cui Ethereum, Solana, XRP e USDT basato su Tron. Il malware esegue effettivamente questo attacco, cambiando gli indirizzi del portafoglio da quello legittimo a quello controllato dall'aggressore nel momento in cui un utente desidera inviare fondi.
La campagna dannosa è stata scoperta dai ricercatori di ReversingLabs attraverso l'analisi di pacchetti npm sospetti. I ricercatori hanno affermato che esistono numerosi segnali di comportamenti dannosi, tra cui connessioni URL sospette e modelli di codice simili a pacchetti dannosi scoperti in precedenza. Hanno menzionato che questa settimana ci sono state diverse campagne che hanno tentato di utilizzare il codice dannoso. Ritengono che gli aggressori utilizzino questa tecnica per mantenere la persistenza ed eludere il rilevamento.
"Più di recente, una campagna lanciata il 1° aprile ha pubblicato un pacchetto, pdf-to-office, nel gestore di pacchetti npm che si presentava come una libreria per convertire file in formato PDF in documenti di Microsoft Office. Una volta eseguito, il pacchetto ha iniettato codice dannoso nel software legittimo di portafoglio crittografico Atomic Wallet ed Exodus, installato localmente, sovrascrivendo i file esistenti e non dannosi nel processo", ha affermato ReversingLabs.
Meccanismo di infezione e iniezione di codice
Secondo l'esame tecnico l'attacco avviene in più fasi e inizia quando l'utente installa il pacchetto. Il resto avviene quando procedono attraverso l'identificazione del portafoglio, l'estrazione di file, l'inserimento di codice dannoso e, infine, il dirottamento delle transazioni. Gli aggressori utilizzano anche tecniche di offuscamento per nascondere le proprie intenzioni, rendendo difficile per gli strumenti tradizionali rilevarle e facendo in modo che sia troppo tardi quando l'utente lo scopre.
Dopo l'installazione, l'infezione inizia quando il pacchetto dannoso esegue il suo payload prendendo di mira il software del portafoglio installato. Il codice identifica la posizione dei file dell'applicazione del portafoglio prima di prendere di mira il formato del pacchetto ASAR utilizzato dalle applicazioni basate su Electron. Il codice cerca specificamente i file in percorsi come "AppData/Local/Programs/atomic/resources/app.asar". Una volta individuato, il malware estrae l'archivio dell'applicazione, inserisce il codice dannoso e quindi ricostruisce l'archivio.
Le iniezioni prendono di mira specificamente i file JavaScript che si trovano all'interno del software del portafoglio, in particolare i file del fornitore come "vendors.64b69c3b00e2a7914733.js". Il malware modifica quindi il codice di gestione delle transazioni per sostituire gli indirizzi reali del portafoglio con quelli appartenenti all'aggressore utilizzando la codifica base64. Ad esempio, quando un utente tenta di inviare Ethereum, il codice sostituisce l'indirizzo del destinatario con una versione decodificata dell'indirizzo.
Una volta completata l'infezione, il malware comunica utilizzando un server di comando e controllo, inviando informazioni sullo stato dell'installazione, incluso il percorso della directory home dell'utente. Ciò consente all'aggressore di tenere traccia delle infezioni riuscite e potenzialmente raccogliere informazioni sui sistemi compromessi. Secondo ReversingLabs, il percorso dannoso ha mostrato segni di persistenza, con il portafoglio Web3 sui sistemi ancora infetto anche quando il pacchetto è stato rimosso.
Cryptopolitan Academy: stanco delle oscillazioni del mercato? Scopri come la DeFi può aiutarti a creare un reddito passivo costante. Registrati ora