网络安全研究人员分享了针对以太坊,XRP和Solana的恶意软件活动的细节。
攻击主要是通过折衷的节点软件包管理器(NPM)软件包针对原子和出埃及记钱包用户。
然后,它将交易重定向到攻击者控制的地址,而无需钱包所有者的知识。
当开发人员不知不觉地在其项目中安装Trojanized NPM软件包时,攻击就开始了。研究人员 确定 “ PDF-To-Office”是一种合法的折衷软件包,但包含隐藏的恶意代码。
安装后,软件包将扫描系统中的加密货币钱包,并注入拦截交易的恶意代码。
“目标升级”
研究人员在报告中指出:“这项最新的广告系列代表了通过软件供应链攻击对加密货币用户进行持续的升级。”
恶意软件可以在包括以太坊在内的多个加密货币之间重定向交易(eth),基于TRON的USDT,XRP(XRP)和solana(sol)。
ReversingLabs通过分析可疑NPM软件包的分析,并检测到了恶意行为的多个指标,包括可疑的URL连接和与先前确定的威胁相匹配的代码模式。他们的技术检查显示,多阶段的攻击使用先进的混淆技术来逃避检测。
当恶意软件包执行系统上安装的有效载荷定位钱包软件时,感染过程开始。该代码专门搜索某些路径中的应用程序文件。
一旦找到,恶意软件将提取应用程序存档。此过程是通过创建临时目录,提取应用程序文件,注入恶意代码的代码执行此过程的,然后重新包装所有内容以使其看起来正常。
该恶意软件修改了交易处理代码,以使用Base64编码来替换攻击者控制的合法钱包地址。
例如,当用户尝试发送ETH时,代码用从base64字符串解码的攻击者地址替换了收件人地址。
该恶意软件的影响可能是悲惨的,因为在将资金发送给攻击者时,交易在钱包界面中看起来正常。
用户没有视觉迹象表明他们的交易已被妥协,直到他们验证区块链交易并发现资金进入意外地址。
说,机构有时从ETH开始-350x250.jpg)
说,机构有时从ETH开始-120x86.jpg)
