Крипто сообщество, нацеленное на растущую волну кибератак, запустило сложное программное обеспечение в цепочке поставок, целью которого является угроза широко используемым Кошелек Web3, таким как Atomic Wallet и Exodus.
Согласно исследователям ReversingLabs (RL), в центре злонамеренной атакующей кампании находится менеджер пакетов npm, популярная платформа для разработчиков JavaScript и Node.js. Злоумышленники загружают обманчивый пакет под названием pdf-to-office, который неправильно представляется как утилита для преобразования PDF-файлов в форматы Microsoft Office. Вместо этого пакет содержит вредоносный код, предназначенный для захвата локальных установок легитимного программного обеспечения крипто-кошельков.
После запуска пакета Pdf-to-office в локально установленные версии Atomic Wallet и Exodus тихо внедряются вредоносные патчи. Эти патчи заменяют легитимный код измененной версией, позволяющей злоумышленникам блокировать и перенаправлять криптовалютные транзакции. На практике пользователи, пытающиеся отправить деньги, обнаруживали, что их транзакции перенаправляются на кошелек, контролируемый злоумышленниками, и нет никаких видимых признаков вмешательства.
Атака использовала технику, которая становится все более популярной: злонамеренные лица теперь вместо того, чтобы напрямую захватывать открытые исходные пакеты upstream, вводят вредоносный код в локальные среды, применяя патчи к легитимному программному обеспечению, уже установленному в системе жертвы.
пакет pdf-to-office впервые появился в npm в марте 2025 года и был выпущен в нескольких последовательных версиях. Последняя версия 1.1.2 была выпущена 1 апреля. Исследователи RL обнаружили пакет, используя ориентированный на машинное обучение анализ поведения на платформе Spectra Assure. Было обнаружено, что код содержит скрытый JavaScript, который является распространенным красным флагом в последних кампаниях вредоносного ПО npm.
После удаления вредоносного пакета его последствия продолжали оставаться заметными. После того как Кошельки Web3 были заплатаны, просто удаление поддельного npm пакета не устранило опасность. Жертвам нужно было полностью удалить и переустановить приложения для кошельков, чтобы удалить троянские компоненты и восстановить целостность кошелька.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Новое предупреждение о трояне, влияющем на пользователей Криптовалюты! Не скачивайте файл с таким именем!
Крипто сообщество, нацеленное на растущую волну кибератак, запустило сложное программное обеспечение в цепочке поставок, целью которого является угроза широко используемым Кошелек Web3, таким как Atomic Wallet и Exodus.
Согласно исследователям ReversingLabs (RL), в центре злонамеренной атакующей кампании находится менеджер пакетов npm, популярная платформа для разработчиков JavaScript и Node.js. Злоумышленники загружают обманчивый пакет под названием pdf-to-office, который неправильно представляется как утилита для преобразования PDF-файлов в форматы Microsoft Office. Вместо этого пакет содержит вредоносный код, предназначенный для захвата локальных установок легитимного программного обеспечения крипто-кошельков.
После запуска пакета Pdf-to-office в локально установленные версии Atomic Wallet и Exodus тихо внедряются вредоносные патчи. Эти патчи заменяют легитимный код измененной версией, позволяющей злоумышленникам блокировать и перенаправлять криптовалютные транзакции. На практике пользователи, пытающиеся отправить деньги, обнаруживали, что их транзакции перенаправляются на кошелек, контролируемый злоумышленниками, и нет никаких видимых признаков вмешательства.
Атака использовала технику, которая становится все более популярной: злонамеренные лица теперь вместо того, чтобы напрямую захватывать открытые исходные пакеты upstream, вводят вредоносный код в локальные среды, применяя патчи к легитимному программному обеспечению, уже установленному в системе жертвы.
пакет pdf-to-office впервые появился в npm в марте 2025 года и был выпущен в нескольких последовательных версиях. Последняя версия 1.1.2 была выпущена 1 апреля. Исследователи RL обнаружили пакет, используя ориентированный на машинное обучение анализ поведения на платформе Spectra Assure. Было обнаружено, что код содержит скрытый JavaScript, который является распространенным красным флагом в последних кампаниях вредоносного ПО npm.
После удаления вредоносного пакета его последствия продолжали оставаться заметными. После того как Кошельки Web3 были заплатаны, просто удаление поддельного npm пакета не устранило опасность. Жертвам нужно было полностью удалить и переустановить приложения для кошельков, чтобы удалить троянские компоненты и восстановить целостность кошелька.