СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.04.2025
#ИБ

Криптоугроза: атаки через законные пакеты npm

Криптоугроза: атаки через законные пакеты npm

Недавнее исследование компании ReversingLabs выявило новую вредоносную технологию, нацеленную на сообщество криптовалют. Злоумышленники используют законные пакеты с открытым исходным кодом, внедряя в них вредоносный код с помощью методов «исправления», что ставит под угрозу безопасность пользователей.

Методы атаки

Киберпреступники активно манипулируют крипто-транзакциями, направляя средства от жертв в свои собственные кошельки. Одним из самых ярких примеров является пакет npm под названием pdf-to-office, который был опубликован 1 апреля. Этот пакет позиционировался как инструмент для преобразования PDF-документов в форматы Microsoft Office, однако:

  • При запуске он наносил вред существующим файлам в легальных приложениях для кошельков, таких как Atomic Wallet и Exodus.
  • Внедрённый код заменял адрес назначения криптокошелька на адрес, контролируемый злоумышленниками.

Проблемы и последствия

Данная атака совпадает с ранее наблюдаемыми случаями, когда использовались аналогичные методы для внедрения вредоносного кода в локально установленные ethers пакеты npm. Исследование показало, что:

  • Вредоносная полезная нагрузка pdf-to-office может обнаружить наличие Atomic Wallet и заменяет определённые файлы в приложении на троянские версии.
  • Эти версии сохраняют прежний функционал, но перенаправляют крипто-транзакции на счета злоумышленников.

Целевые изменения и дополнительные угрозы

Атака на Atomic Wallet была специально адаптирована для различных версий приложения. Например, использовались разные имена файлов для обеспечения совместимости с версиями 2.91.5 и 2.90.6. Аналогично, в кошельке Exodus в последних версиях были внесены целевые изменения в ключевые файлы.

Злоумышленники также проявляют активность в архивировании и эксфильтрации конфиденциальных файлов из скомпрометированных систем, что указывает на стремление собрать дополнительные данные или уничтожить доказательства своей деятельности. Постоянство таких атак вызывает особую озабоченность:

  • Вредоносные модификации сохраняются даже после удаления первоначального пакета npm.
  • Для полного устранения угрозы необходимо полное переустановление программного обеспечения кошелька.

Предупреждение для всех участников рынка

Эти новые подходы подчеркивают растущие риски, связанные с цепочками поставок программного обеспечения в секторе криптовалют. Исследование служит сигналом как для производителей программного обеспечения, так и для конечных пользователей в различных отраслях.

Сложность и динамичность угроз требует:

  • Улучшенных протоколов мониторинга
  • Более надежных мер безопасности

По мере совершенствования методов злоумышленников важность бдительности и повышения защиты от угроз цепочек поставок программного обеспечения трудно переоценить.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: