محققان امنیت سایبری جزئیات مربوط به یک کمپین بدافزار را که Ethereum ، XRP و Solana را هدف قرار داده اند به اشتراک گذاشته اند.
این حمله عمدتاً کاربران کیف پول اتمی و خروج را از طریق بسته های مدیر بسته گره به خطر افتاده (NPM) هدف قرار می دهد.
سپس معاملات را به آدرس های کنترل شده توسط مهاجم هدایت می کند بدون اینکه دانش صاحب کیف پول باشد.
این حمله از زمانی آغاز می شود که توسعه دهندگان ناآگاهانه بسته های NPM تروجانیزه را در پروژه های خود نصب می کنند. محققان “PDF-Office” را به عنوان یک بسته به خطر افتاده معرفی کردند که به نظر می رسد قانونی اما حاوی کد مخرب پنهان است.
پس از نصب ، این بسته سیستم را برای کیف پول های cryptocurrency نصب شده اسکن می کند و کد مخرب را که معاملات را رهگیری می کند ، تزریق می کند.
“تشدید در هدف قرار دادن”
محققان در گزارش خود خاطرنشان کردند: “این آخرین کمپین نشان دهنده تشدید در هدف قرار دادن کاربران رمزنگاری از طریق حملات زنجیره تأمین نرم افزار است.”
این بدافزار می تواند معاملات را در چندین ارز رمزنگاری ، از جمله اتریوم (ETH) ، USDT مبتنی بر Tron ، XRP (XRP) و Solana (SOL) هدایت کند.
ReversingLabs از طریق تجزیه و تحلیل بسته های مشکوک NPM ، این کمپین را شناسایی کرد و چندین شاخص از رفتار مخرب از جمله اتصالات URL مشکوک و الگوهای کد را که مطابق با تهدیدات قبلاً شناسایی شده بود ، شناسایی کرد. معاینه فنی آنها یک حمله چند مرحله ای را نشان می دهد که از تکنیک های پیشرفته انسداد برای فرار از تشخیص استفاده می کند.
فرآیند عفونت از زمانی شروع می شود که بسته مخرب نرم افزار کیف پول هدفمند خود را که بر روی سیستم نصب شده است ، انجام می دهد. کد به طور خاص پرونده های برنامه را در مسیرهای خاص جستجو می کند.
پس از قرار گرفتن ، بدافزار بایگانی برنامه را استخراج می کند. این فرآیند از طریق کدی اجرا می شود که دایرکتوری های موقت را ایجاد می کند ، پرونده های برنامه را استخراج می کند ، کد مخرب را تزریق می کند و سپس همه چیز را بازپرداخت می کند تا طبیعی به نظر برسد.
این بدافزار کد حمل و نقل معامله را برای جایگزینی آدرس های کیف پول قانونی با موارد کنترل شده توسط مهاجم با استفاده از رمزگذاری Base64 اصلاح می کند.
به عنوان مثال ، هنگامی که کاربر سعی در ارسال ETH می کند ، کد آدرس گیرنده را با آدرس مهاجم رمزگشایی می کند که از یک رشته Base64 رمزگشایی می شود.
تأثیر این بدافزار می تواند غم انگیز باشد زیرا معاملات در رابط کیف پول طبیعی به نظر می رسد در حالی که وجوه به مهاجمان ارسال می شود.
کاربران هیچ نشانه ای از بصری ندارند که معاملات آنها تا زمانی که معامله blockchain را تأیید کنند به خطر افتاده اند و کشف وجوه به یک آدرس غیر منتظره می رود.
منبع: crypto.news
نظرات کاربران