HackerNews 编译,转载请注明出处:
威胁行为者继续向npm注册表上传恶意包,以篡改已安装的合法库的本地版本并执行恶意代码,这被视为一种更隐蔽的软件供应链攻击手段。
最新发现的名为pdf-to-office的包伪装成一个将PDF文件转换为Microsoft Word文档的工具。但实际上,它包含可以向与Atomic Wallet和Exodus相关的加密货币钱包软件注入恶意代码的功能。
“实际上,受害者试图将加密货币发送到另一个加密货币钱包时,原本的钱包目标地址会被替换为恶意行为者拥有的地址,”ReversingLabs研究员Lucija Valentić在与The Hacker News分享的一份报告中表示。
该npm包于2025年3月24日首次发布,此后已更新三次,但之前的版本可能已被作者自己删除。最新版本1.1.2于4月8日上传,目前仍可供下载。该包迄今已被下载334次。
这一披露仅在软件供应链安全公司发现两个名为ethers-provider2和ethers-providerz的npm包几周后。这些包被设计为感染本地安装的包,并通过SSH连接到威胁行为者的服务器建立反向shell。
这种攻击方式对威胁行为者来说是一个有吸引力的选择,因为它允许恶意软件在恶意包被移除后仍然存在于开发者的系统中。
对pdf-to-office的分析显示,嵌入在包中的恶意代码会检查Windows计算机的“AppData/Local/Programs”文件夹中是否存在“atomic/resources/app.asar”存档,以确定是否安装了Atomic Wallet。如果是,则引入剪贴板功能。
“如果该存档存在,恶意代码会用一个新的特洛伊木马版本覆盖其中一个文件,该文件与合法文件具有相同的功能,但将发送资金的外部加密货币地址替换为威胁行为者拥有的Base64编码的Web3钱包地址,”Valentić表示。
同样地,该有效载荷还设计为特洛伊木马化与Exodus钱包相关的文件“src/app/ui/index.js”。
但有趣的是,这些攻击针对的是Atomic Wallet(2.91.5和2.90.6)和Exodus(25.13.3和25.9.2)的两个特定版本,以确保覆盖正确的JavaScript文件。
“如果pdf-to-office包碰巧从计算机中移除,Web3钱包的软件仍会保持受损状态,并继续将加密货币资金转移到攻击者的钱包,”Valentić表示。“要完全从Web3钱包的软件中移除恶意特洛伊木马文件,唯一的方法是从计算机中完全移除它们并重新安装。”
这一披露正值ExtensionTotal详细描述了10个恶意Visual Studio Code扩展,这些扩展会偷偷下载一个禁用Windows安全的PowerShell脚本,通过计划任务建立持久性,并安装一个XMRig加密货币矿工。
这些扩展在被移除之前总共被安装了超过一百万次。以下是扩展的名称:
- Prettier — VSCode的代码(由prettier提供)VS Code的Discord Rich Presence(由Mark H提供)Rojo — Roblox Studio同步(由evaera提供)Solidity编译器(由VSCode Developer提供)Claude AI(由Mark H提供)Golang编译器(由Mark H提供)VSCode的ChatGPT代理(由Mark H提供)HTML混淆器(由Mark H提供)VSCode的Python混淆器(由Mark H提供)VSCode的Rust编译器(由Mark H提供)
“攻击者创建了一个复杂的多阶段攻击,甚至安装了他们模仿的合法扩展,以避免在后台挖掘加密货币时引起怀疑,”ExtensionTotal表示。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
