恶意演员现在正在将恶意代码注入合法的项目中，以从毫无戒心的用户中窃取数字资产。据报道，网络安全研究人员发现了一项复杂的恶意软件活动，该活动通过受损的NPM软件包来针对加密用户。

根据该报告，该攻击专门针对原子和出埃及记钱包的用户，攻击者通过注入将资金重定向到攻击者钱包的恶意代码来劫持交易。最新的广告系列与通过软件供应链攻击对加密用户的持续攻击链一致。

攻击的起源通常来自开发人员，其中大多数人在不知不觉中在其项目中安装了受损的NPM软件包。在此广告系列中确定的一个包裹是“ PDF到办公室”，它正常出现，看起来合法但包含隐藏的恶意代码。安装后，软件包将扫描用户设备是否安装了加密钱包，并注入了能够在没有用户知识的情况下拦截和重定向交易的恶意代码。

网络安全研究人员标记针对加密钱包的恶意代码

这次攻击的影响对于受害者来说是非常可怕的，恶意代码能够将加密货币交易默默地重定向到由攻击者控制的钱包。这些攻击在几个数字资产中都起作用，包括以太坊，Solana，XRP和基于TRON的USDT。恶意软件有效地进行了此攻击，将钱包地址从合法的地址转换为用户想要发送资金的那一刻的攻击者控制地址。

恶意运动是由ReversingLabs研究人员通过分析可疑的NPM软件包。研究人员提到，恶意行为的迹象很多，包括可疑的URL连接和代码模式，类似于先前发现的恶意软件包。他们提到本周有许多活动试图使用恶意代码。他们认为，攻击者正在使用这种技术来保持持久性和逃避检测。

“Most recently, a campaign launched on April 1 published a package, pdf-to-office, to the npm package manager that posed as a library for converting PDF format files to Microsoft Office documents. When executed, the package injected malicious code into legitimate, locally-installed crypto wallet software Atomic Wallet and Exodus, overwriting existing, non-malicious files in the process,” ReversingLabs said.

感染机制和密码注射

根据技术检查，攻击是多阶段的，当用户安装软件包时开始。其余的会发生在他们通过钱包识别，文件提取，恶意代码注入以及最终劫持交易时发生的情况。攻击者还使用混淆技术来隐藏其意图，使传统工具很难拾起它，这使得用户发现时为时已晚。

安装后，当恶意软件包执行其有效载荷定位安装的钱包软件时，感染开始。在针对基于电子的应用程序使用的ASAR包装格式之前，该代码会标识钱包应用程序文件的位置。该代码专门搜索路径中的文件，例如“ AppData/local/program/atomic/resources/app.asar”。一旦找到它，恶意软件将提取应用程序存档，注入恶意代码，然后重建档案。

注射专门针对钱包软件中的JavaScript文件，尤其是供应商文件，例如“供应商”。64B69C3B00E2A7914733.JS”。然后，恶意软件修改了交易处理代码，以使用base64编码替换攻击者的真实钱包地址。例如，当用户试图发送以太坊时，代码用该地址的解码版本代替了收件人地址。

感染完成后，恶意软件使用命令和控制服务器进行通信，发送安装状态信息，包括用户主目录路径。这允许攻击者跟踪成功的感染并有可能收集有关损害系统的信息。根据ReversingLabs的说法，恶意路径也显示出持久性的证据，即使已删除了包装，系统仍在系统上仍感染的Web3钱包。

密码大都会学院：厌倦了市场波动？了解DEFI如何帮助您建立稳定的被动收入。立即注册