威胁行为者持续向 npm(Node Package Manager,Node.js 包管理器)注册表上传恶意软件包,目的是篡改已安装在本地的合法库版本,并执行恶意代码。这被视为一种更为隐蔽的软件供应链攻击手段。
新发现的名为 pdf-to-office 的软件包,伪装成一款将 PDF 文件转换为 Microsoft Word 文档的实用工具。但实际上,它暗藏着能将恶意代码注入到与 Atomic Wallet 和 Exodus 相关的加密货币钱包软件中的功能。
“实际上,试图将加密货币资金发送到另一个加密钱包的受害者,其原本设定的钱包目标地址会被替换为恶意行为者的地址。”ReversingLabs 的研究员 Lucija Valentić 在与 The Hacker News 分享的一份报告中说道。
上述存在问题的 npm 软件包于 2025 年 3 月 24 日首次发布,自那以后已进行了三次更新,但在此之前,早期版本很可能已被作者自行删除。最新版本 1.1.2 于 4 月 8 日上传,目前仍可供下载。到目前为止,该软件包已被下载 334 次。
就在此次披露的几周前,这家软件供应链安全公司还发现了两个名为 ethers-provider2 和 ethers-providerz 的 npm 软件包,这些软件包被设计用来感染本地已安装的软件包,并建立一个反向 Shell,以便通过 SSH 连接到威胁行为者的服务器。
对于威胁行为者来说,这种攻击方式之所以颇具吸引力,是因为即使恶意软件包被删除,恶意软件仍能在开发者的系统中留存。
对 pdf-to-office 的分析显示,该软件包中嵌入的恶意代码会检查 “AppData/Local/Programs” 文件夹内是否存在 “atomic/resources/app.asar” 归档文件,以此确定 Windows 计算机上是否安装了 Atomic Wallet 钱包软件。如果安装了,恶意代码就会引入地址篡改功能。
Valentić 表示:“如果该归档文件存在,恶意代码就会用一个经过恶意篡改的新版本文件覆盖其中一个原有文件。新版本文件具有与合法文件相同的功能,但会将资金发送的输出加密地址替换为属于威胁行为者的经过 Base64 编码的 Web3 钱包地址。”
同样,该恶意负载还被设计用来篡改与 Exodus 钱包相关的 “src/app/ui/index.js” 文件。
但有意思的是,这些攻击针对的是 Atomic Wallet(2.91.5 和 2.90.6 版本)和 Exodus(25.13.3 和 25.9.2 版本)各自特定的两个版本,以确保能正确覆盖相应的 JavaScript 文件。
Valentić 说:“万一pdf-to-office软件包从计算机上被删除,Web3 钱包软件仍会处于被攻击状态,并继续将加密货币资金导向攻击者的钱包。要想彻底从 Web3 钱包软件中清除这些被恶意篡改的文件,唯一的办法就是将钱包软件从计算机上完全卸载,然后重新安装。”
此次披露的同时,ExtensionTotal 详细说明了 10 个恶意的 Visual Studio Code 扩展程序。这些扩展程序会偷偷下载一个 PowerShell 脚本,该脚本会禁用 Windows 安全功能,通过计划任务实现持久化,并安装一个 XMRig 加密货币挖矿程序。
在这些扩展程序被下架之前,它们总共被安装了超过一百万次。这些扩展程序的名称如下:
1.Prettier — Code for VSCode(作者:prettier)
2.Discord Rich Presence for VS Code(作者:Mark H)
3.Rojo — Roblox Studio Sync(作者:evaera)
4.Solidity Compiler(作者:VSCode Developer)
5.Claude AI(作者:Mark H)
6.Golang Compiler(作者:Mark H)
7.ChatGPT Agent for VSCode(作者:Mark H)
8.HTML Obfuscator(作者:Mark H)
9.Python Obfuscator for VSCode(作者:Mark H)
10.Rust Compiler for VSCode(作者:Mark H)
ExtensionTotal 表示:“攻击者策划了一场复杂的多阶段攻击,他们甚至安装了自己所模仿的合法扩展程序,以避免引起怀疑,同时在后台进行加密货币挖矿。”
发表评论
您还未登录,请先登录。
登录