Kibernetinio saugumo tyrėjai pasidalino informacija apie kenkėjiškų programų kampaniją, skirtą „Ethereum“, „XRP“ ir „Solana“.
„Attack“ daugiausia nukreipta į „Atomic“ ir „Exodus“ piniginės vartotojus per kompromisų „Mazge Package Manager“ (NPM) paketus.
Tada jis nukreipia operacijas į užpuoliko kontroliuojamus adresus be piniginės savininko žinių.
Išpuolis prasideda, kai kūrėjai nesąmoningai įdiegia Trojos arenzuotus NPM paketus į savo projektus. Tyrėjai nustatė „PDF-to-office“ kaip pažeistą paketą, kuris atrodo teisėtas, tačiau turi paslėptą kenksmingą kodą.
Įdiegus, paketas nuskaito įdiegtų kriptovaliutų piniginių sistemą ir sušvirkščia kenksmingą kodą, kuris perima operacijas.
„Eskalavimas siekiant“
„Ši naujausia kampanija parodo nuolatinio kriptovaliutų vartotojų nukreipimą per programinės įrangos tiekimo grandinės atakas“, – savo pranešime pažymėjo tyrėjai.
Kenkėjiška programa gali nukreipti operacijas iš kelių kriptovaliutų, įskaitant „Ethereum“ (ETH), „TRON“ pagrįstą USDT, XRP (XRP) ir SOLANA (SOL).
„ReverSingLabs“ nustatė kampaniją atlikdami įtartinų NPM paketų analizę ir aptiko kelis kenksmingo elgesio rodiklius, įskaitant įtartinus URL ryšius ir kodo modelius, atitinkančius anksčiau nustatytas grėsmes. Jų techninis patikrinimas atskleidžia daugiapakopį išpuolį, kuriame naudojami pažangios užmaskavimo metodai, siekiant išvengti aptikimo.
Infekcijos procesas prasideda tada, kai kenksmingas paketas vykdo savo naudingą apkrovą, nukreiptą į sistemą įdiegtą piniginės programinę įrangą. Kodas konkrečiai ieško programų failų tam tikruose keliuose.
Įsikūręs kenkėjiška programa ištraukia programų archyvą. Šis procesas vykdomas naudojant kodą, kuris sukuria laikinus katalogus, ištraukia programos failus, suleidžia kenksmingo kodą ir tada perpakuoja viską, kad atrodytų normalu.
Kenkėjiška programa keičia operacijų tvarkymo kodą, kad pakeistų teisėtus piniginės adresus užpuoliko kontroliuojamais, naudojant „Base64“ kodavimą.
Pvz., Kai vartotojas bando siųsti ETH, kodas pakeičia gavėjo adresą užpuoliko adresu, dekoduotu iš „Base64“ eilutės.
Šios kenkėjiškos programos poveikis gali būti tragiškas, nes sandoriai atrodo normalūs piniginės sąsajoje, o fondai siunčiami užpuolikams.
Vartotojai neturi vizualinės požymių, kad jų operacijos buvo pažeistos, kol jie nepatikrina „blockchain“ operacijos ir atrasti lėšų, nukreiptų į netikėtą adresą.
