Les chercheurs en cybersécurité ont partagé les détails d’une campagne de logiciels malveillants ciblant Ethereum, XRP et Solana.
L’attaque cible principalement les utilisateurs de portefeuille atomique et Exodus via des packages NODE Package Manager (NPM) compromis.
Il redirige ensuite les transactions vers des adresses contrôlées contre l’attaquant à l’insu du propriétaire du portefeuille.
L’attaque commence lorsque les développeurs installent inconsciemment des packages NPM trojanisés dans leurs projets. Les chercheurs ont identifié le «PDF-Office» comme un package compromis qui semble légitime mais contient un code malveillant caché.
Une fois installé, le package scanne le système pour les portefeuilles de crypto-monnaie installés et injecte du code malveillant qui intercepte les transactions.
«Escalade dans le ciblage»
“Cette dernière campagne représente une escalade dans le ciblage en cours des utilisateurs de crypto-monnaie grâce à des attaques de chaîne d’approvisionnement logicielles”, ont noté des chercheurs dans leur rapport.
Le malware peut rediriger les transactions sur plusieurs crypto-monnaies, notamment Ethereum (ETH), USDT basé sur TRON, XRP (XRP) et Solana (Sol).
RenversingLabs a identifié la campagne grâce à leur analyse des packages NPM suspects et a détecté plusieurs indicateurs de comportement malveillant, y compris les connexions suspectes d’URL et les modèles de code correspondant aux menaces précédemment identifiées. Leur examen technique révèle une attaque en plusieurs étapes qui utilise des techniques d’obscurcissement avancées pour échapper à la détection.
Le processus d’infection commence lorsque le package malveillant exécute son logiciel de portefeuille de ciblage de charge utile installé sur le système. Le code recherche spécifiquement les fichiers d’application dans certains chemins.
Une fois située, le malware extrait les archives de l’application. Ce processus est exécuté via un code qui crée des répertoires temporaires, extrait les fichiers d’application, injecte le code malveillant, puis rembacks tout pour apparaître normal.
Le malware modifie le code de gestion des transactions pour remplacer les adresses de portefeuille légitimes par des adresses contrôlées par l’attaquant en utilisant le codage Base64.
Par exemple, lorsqu’un utilisateur tente d’envoyer ETH, le code remplace l’adresse du destinataire par l’adresse d’un attaquant décodé à partir d’une chaîne Base64.
L’impact de ce logiciel malveillant peut être tragique car les transactions semblent normales dans l’interface du portefeuille tandis que les fonds sont envoyés aux attaquants.
Les utilisateurs n’ont aucune indication visuelle que leurs transactions ont été compromises jusqu’à ce qu’ils vérifient la transaction de la blockchain et que les fonds découvrent se sont rendus à une adresse inattendue.
