پژوهشگران امنیتی شرکت ReversingLabs از کشف یک بسته مخرب در npm خبر داده است که بهصورت هدفمند کیفپولهای Atomic و Exodus را آلوده کرده و تراکنشهای ارز دیجیتال کاربران را به آدرسهای تحت کنترل هکرها هدایت می کنند. این بسته با نام **pdf-to-office** در ماه مارس به npm اضافه شد و چندین بار در اوایل آوریل بهروزرسانی شد. اگرچه این بسته ادعا میکند که یک ابزار تبدیل فایل PDF به فرمتهای Office است، اما در واقع هیچ قابلیت تبدیل فایلی در آن وجود ندارد و در عوض، کدهای مخربی را اجرا میکند که نسخههای نصبشده محلی کیفپولهای Atomic و Exodus را تغییر میدهد.
گزارش ReversingLabs
بر اساس گزارش ReversingLabs، این بسته پس از اجرا، بهصورت پنهانی سیستم کاربر را جستجو می کند . فایلهای اصلی کیفپولهای Atomic نسخههای 2.90.6 و 2.91.5 و همچنین Exodus نسخههای 25.9.2 و 25.13.3 را پیدا میکند. سپس این فایلها را با نسخههای مخرب جایگزین مینماید که حاوی کدهای تغییردهنده آدرس مقصد تراکنشها هستند. این کدهای مخرب آدرس درخواستی کاربر را با یک آدرس رمزگشاییشده از base64 جایگزین میکنند که متعلق به مهاجمان است.
نکته نگرانکننده این است که حتی پس از حذف بسته pdf-to-office، کیفپولهای آلوده بهصورت مداوم تراکنشها را به آدرسهای مهاجم هدایت میکنند. برای رفع کامل این مشکل، کاربران باید کیفپولهای خود را بهصورت کامل حذف و مجدداً نصب کنند.
علاوه بر این، کدهای مخرب اقدام به ارسال دادههای وضعیت نصب به یک آیپی تحت کنترل مهاجمان میکنند. در برخی موارد، لاگها و فایلهای ردیابی نرمافزار AnyDesk نیز جمعآوری و برای مهاجمان ارسال شده است. که نشاندهنده تمایل آنها برای نفوذ عمیقتر به سیستم یا پاککردن ردپای خود است.
این حمله نمونهای از تغییر تاکتیکهای مهاجمان در حملات زنجیره تأمین نرمافزار است. بهجای نفوذ مستقیم به کتابخانههای منبعباز که معمولاً با واکنش سریع جامعه توسعهدهندگان مواجه میشود، آنها اکنون بستههایی را منتشر میکنند که نصبهای محلی نرمافزارهای مورد اعتماد را با کدهای مخرب آلوده ساخته اند. این روش به ویژه در محیطهای web3 خطرناک است، جایی که نصب محلی بستههای منبعباز رایج است و بسیاری از سازمانها وابستگیهای نصبشده را بهصورت مداوم بررسی نمیکنند.
منبع:cryptoslate
