Os pesquisadores descobriram um pacote de software malicioso enviado para o NPM que altera secretamente as versões instaladas localmente das carteiras de criptografia e permite que os invasores interceptem e redirecionem transações de moeda digital, revelados revertendolabs em um relatório recente.
A campanha injetou o código trojanizado em software atômico e êxodo instalado localmente e transferências de criptografia sequestrada. O ataque centrou-se em um pacote NPM enganoso, PDF-to-Office, que representava como uma biblioteca para converter arquivos PDF em formatos de escritório.
Quando executado, o pacote silenciosamente localizou e modificou versões específicas de carteiras atômicas e de êxodo nas máquinas das vítimas, redirecionando transações de criptografia de saída para carteiras controladas por atores de ameaças.
A reversinglabs disse que a campanha exemplifica uma mudança mais ampla nas táticas: em vez de comprometer diretamente as bibliotecas de código aberto, que geralmente desencadeiam respostas rápidas da comunidade, os invasores estão distribuindo cada vez mais pacotes projetados para “corrigir” instalações locais de software confiável com malware furtivo.
Patching de arquivo direcionado
O pacote PDF-To Office foi enviado pela primeira vez para o NPM em março e atualizado várias vezes até o início de abril. Apesar de sua função declarada, o pacote não possuía recursos reais de conversão de arquivos.
Em vez disso, seu script principal executou o código ofuscado que procurou instalações locais de carteira atômica e carteira de êxodo e substituiu os principais arquivos de aplicativos com variantes maliciosas.
Os invasores substituíram arquivos JavaScript legítimos dentro do arquivo de recursos/app.asar por versões trojanizadas quase idênticas que substituíram o endereço destinatário pretendido do usuário por uma carteira decodificada por Base64 pertencente ao atacante.
Para carteira atômica, as versões 2.90.6 e 2.91.5 foram especificamente direcionadas. Enquanto isso, um método semelhante foi aplicado às versões da carteira de Êxodo 25.9.2 e 25.13.3.
Uma vez modificado, as carteiras infectadas continuariam redirecionando os fundos, mesmo que o pacote NPM original fosse excluído. A remoção e a reinstalação completas do software da carteira foram necessárias para eliminar o código malicioso.
Os reversores também observaram as tentativas de persistência e ofuscação do malware. Os sistemas infectados enviaram dados de status de instalação para um endereço IP controlado por atacante (178.156.149.109) e, em alguns casos, os registros zipulados e os arquivos de rastreamento do software de acesso remoto de qualquerdesk foram exfiltrados, sugerindo um interesse em infiltração de sistema mais profunda ou remoção de evidências.
Expandindo ameaças da cadeia de suprimentos de software
A descoberta segue uma campanha de março semelhante envolvendo o Ethers-Provider2 e o Ethers-Providerz, que corrigiu o pacote de npm éveres para estabelecer conchas reversas. Ambos os incidentes destacam a crescente complexidade dos ataques da cadeia de suprimentos direcionados ao espaço criptográfico.
A reversinglabs alertou que essas ameaças continuam evoluindo, especialmente em ambientes Web3, onde as instalações locais de pacotes de código aberto são comuns. Os invasores dependem cada vez mais de métodos de engenharia social e infecção indireta, sabendo que a maioria das organizações não examina as dependências já instaladas.
De acordo com o relatório:
“Esse tipo de ataque de patch permanece viável porque, uma vez instalado o pacote e o patch é aplicado, a ameaça persiste mesmo que o módulo NPM de origem seja removido”.
O pacote malicioso foi sinalizado pelos algoritmos de aprendizado de máquina reverteringlabs sob política de caça de ameaças TH15502. Desde então, ele foi removido do NPM, mas uma versão republicada com o mesmo nome e versão 1.1.2 reapareceu brevemente, indicando a persistência do ator de ameaça.
Os investigadores publicaram hashes de arquivos afetados e endereços de carteira usados pelos atacantes como indicadores de compromisso (IOCs). Isso inclui carteiras usadas para redirecionamento de fundos ilícitos, bem como as impressões digitais SHA1 de todas as versões de pacotes infectadas e arquivos trojanizados associados.
À medida que os ataques da cadeia de suprimentos de software se tornam mais frequentes e tecnicamente refinados, especialmente no espaço de ativos digitais, os especialistas em segurança estão pedindo uma auditoria de código mais rigoroso, gerenciamento de dependências e monitoramento em tempo real das alterações locais de aplicativos.
Mencionado neste artigo
source – cryptoslate.com
