СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.05.2025
#Dev#ИБ

Новые угрозы: вредоносные пакеты npm атакуют крипто-трейдеров

Новые угрозы: вредоносные пакеты npm атакуют крипто-трейдеров

Недавнее исследование, проведенное Socket, выявило два новые вредоносные пакета npm: pumptoolforvolumeandcomment и его оболочку debugdogs. Оба пакета были созданы хакером под псевдонимом olumideyo и их основная цель – кража конфиденциальной информации о криптовалютах и учетных данных платформы BullX.

Как работает зловредный код?

Основная полезная нагрузка доставляется через pumptoolforvolumeandcomment, который расшифровывает скрытый вредоносный код. Этот код нацелен на:

  • Криптовалютные ключи
  • Файлы кошельков
  • Торговые данные с платформы BullX

Утечка данных происходит через Telegram-бота, что обеспечивает быструю передачу украденной информации. При этом вредоносная программа работает в UNIX-подобных средах и нацелена на операционные системы Linux и macOS.

Поиск и сбор данных

Вредоносное ПО выполняет проверку конфиденциальных каталогов, используя пользовательские пути такие как:

  • ~/Documents
  • /media
  • /Volumes

Идентифицированные типы файлов, которые могут содержать ценную информацию, включают:

  • .txt
  • .env
  • .docs
  • .log
  • .cfg
  • .ini

Хакер использует регулярные выражения для определения шаблонов, указывающих на ключи криптовалютного кошелька, что подтверждает его намерение извлечь учетные данные, связанные с криптографией. После успешного обнаружения данные собираются в структурированный JSON-файл (fss.json) и отправляются через Telegram, что облегчает фильтрацию в режиме реального времени.

Дополнительные векторы атаки

Пакет debugdogs действует как дополнительный вектор, гарантируя, что пользователи, установившие эту оболочку, непреднамеренно активируют вредоносные функции pumptoolforvolumeandcomment. Эта тактика подчеркивает растущую проблему уязвимости цепочки поставок программного обеспечения.

Использование Telegram для утечки данных также указывает на его привлекательность для злоумышленников благодаря простоте настройки и использованию для получения украденной информации.

Необходимость усиленных мер безопасности

Этот инцидент подчеркивает острую необходимость в усиленных мерах безопасности в экосистемах разработки программного обеспечения, особенно для приложений, работающих с криптовалютами. Внедрение автоматизированных инструментов анализа безопасности может значительно снизить риски, связанные с атаками на цепочки поставок.

С учетом всего вышесказанного, защита пользователей от потенциальных финансовых потерь и несанкционированного доступа к активам становится более актуальной, чем когда-либо.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: