威胁参与者将恶意代码注入合法的加密项目

恶意演员现在正在将恶意代码注入合法的项目中，以从毫无戒心的用户中窃取数字资产。据报道，网络安全研究人员发现了一项复杂的恶意软件活动，该活动通过受损的NPM软件包来针对加密用户。

根据该报告，攻击专门针对原子钱包和出埃及记钱包的用户，攻击者通过向攻击者的钱包重定向的恶意代码劫持了交易。最新的广告系列与通过软件供应链攻击对加密用户的持续攻击链一致。

攻击的起源通常来自开发人员，其中大多数人在不知不觉中在其项目中安装了受损的NPM软件包。我在此广告系列中dent的一个这样的软件包是“ PDF-To-To-Office”，它看起来正常，看起来合法，但包含隐藏的恶意代码。安装后，软件包将扫描用户的设备是否安装了加密钱包，并注入了能够在没有用户知识的情况下拦截和重定向交易的恶意代码。

网络安全研究人员标记针对加密钱包的恶意代码

这次攻击的影响对于受害者来说是非常可怕的，恶意代码能够将加密货币交易默默地重定向到由攻击者控制的钱包。这些攻击在几个数字资产中起作用，包括 Ethereum， Solana， XRP和基于 Tron的USDT。恶意软件有效地进行了此攻击，将钱包地址从合法的地址转换为用户想要发送资金的那一刻的攻击者控制地址。

ReversingLabs研究人员通过对可疑NPM软件包的分析发现了恶意运动研究人员提到，恶意行为的迹象很多，包括可疑的URL连接和代码模式，类似于先前发现的恶意软件包。他们提到本周有许多活动试图使用恶意代码。他们认为，攻击者正在使用这种技术来保持持久性和逃避检测。

“Most recently, a campaign launched on April 1 published a package, pdf-to-office, to the npm package manager that posed as a library for converting PDF format files to Microsoft Office documents. When executed, the package injected malicious code into legitimate, locally-installed crypto wallet software Atomic Wallet and Exodus, overwriting existing, non-malicious files in the process,” ReversingLabs said.

感染机制和密码注射

根据技术检查，攻击是多阶段的，当用户安装软件包时开始。其余的会发生在他们穿过钱包我dent时，提出trac，恶意代码注入并最终劫持交易。攻击者还使用混淆技术来隐藏其意图，使传统工具很难拾起它，这使得用户发现时为时已晚。

安装后，当恶意软件包执行其有效载荷定位安装的钱包软件时，感染开始。在针对基于Electron的应用程序使用的ASAR包装格式之前，代码dentifies ifies ifies的位置。该代码专门搜索路径中的文件，例如“ AppData/local/program/atomic/resources/app.asar”。一旦找到它，恶意软件tractracthe应用程序存档，注入恶意代码，然后重建档案。

注射专门针对钱包软件中的JavaScript文件，尤其是供应商文件，例如“供应商”。64B69C3B00E2A7914733.JS”。然后，恶意软件修改了交易处理代码，以使用base64编码替换攻击者的真实钱包地址。例如，当用户试图发送 Ethereum时，代码用该地址的解码版本代替了收件人地址。

感染完成后，恶意软件使用命令和控制服务器进行通信，发送安装状态信息，包括用户的主目录路径。这使攻击者能够trac成功感染并有可能收集有关损害系统的信息。根据ReversingLabs的说法，恶意路径也显示出持久性的证据，即使已删除了包装，系统仍在系统上仍感染的Web3钱包。

2025年DeFi赚取被动收入的新方法。了解更多