بدافزارهای رمزنگاری به آرامی ETH، XRP و SOL را از کیف پول‌ها سرقت می‌کنند

محققان امنیت سایبری جزئیاتی از یک کمپین بدافزاری که هدف آن Ethereum، XRP و Solana است، به اشتراک گذاشته‌اند.

این حمله عمدتاً کاربران کیف پول‌های Atomic و Exodus را از طریق بسته‌های مدیریت بسته Node (NPM) مخرب هدف قرار می‌دهد.

سپس بدون اطلاع مالک کیف پول، معاملات را به آدرس‌های تحت کنترل حمله‌کننده هدایت می‌کند.

این حمله زمانی آغاز می‌شود که توسعه‌دهندگان ناآگاهانه بسته‌های NPM مبتلا به تروجان را در پروژه‌های خود نصب می‌کنند. محققان "pdf-to-office" را به عنوان یک بسته مخرب شناسایی کردند که به نظر قانونی می‌آید اما حاوی کد مخرب پنهان است.

پس از نصب، این بسته سیستم را برای کیف پول‌های ارز دیجیتال نصب شده اسکن کرده و کد مخرب را وارد می‌کند که به تراکنش‌ها حمله می‌کند.

‘افزایش در هدف‌گذاری’

محققان در گزارش خود اشاره کردند: "این کمپین اخیر نمایانگر افزایش در هدف‌گذاری مداوم کاربران ارزهای دیجیتال از طریق حملات زنجیره تأمین نرم‌افزار است."

این بدافزار می‌تواند تراکنش‌ها را در چندین ارز دیجیتال، از جمله Ethereum (ETH)، USDT مبتنی بر Tron، XRP (XRP) و Solana (SOL) هدایت کند.

ReversingLabs این کمپین را از طریق تحلیل بسته‌های مشکوک NPM شناسایی کرده و چندین نشانه از رفتار مخرب از جمله اتصالات URL مشکوک و الگوهای کد مطابق با تهدیدات شناسایی شده قبلی را تشخیص داد. بررسی فنی آن‌ها نشان‌دهنده یک حمله چند مرحله‌ای است که از تکنیک‌های پیشرفته اختفا برای فرار از شناسایی استفاده می‌کند.

فرایند عفونت زمانی آغاز می‌شود که بسته مخرب بارگذاری خود را هدف‌گیری نرم‌افزار کیف پول نصب شده در سیستم انجام می‌دهد. این کد به‌طور خاص به دنبال فایل‌های اپلیکیشن در مسیرهای خاص می‌گردد.

پس از شناسایی، بدافزار آرشیو اپلیکیشن را استخراج می‌کند. این فرایند از طریق کدی انجام می‌شود که دایرکتوری‌های موقت ایجاد می‌کند، فایل‌های اپلیکیشن را استخراج کرده، کد مخرب را وارد می‌کند و سپس همه چیز را دوباره بسته‌بندی کرده تا طبیعی به نظر برسد.

بدافزار کد مدیریت تراکنش را تغییر می‌دهد تا آدرس‌های معتبر کیف پول را با آدرس‌های تحت کنترل حمله‌کننده جایگزین کند، به‌طوری‌که از کدگذاری base64 استفاده می‌شود.

برای مثال، زمانی که یک کاربر قصد دارد ETH ارسال کند، کد آدرس دریافت‌کننده را با آدرس حمله‌کننده که از یک رشته base64 رمزگشایی شده است، جایگزین می‌کند.

تأثیر این بدافزار می‌تواند فاجعه‌آمیز باشد زیرا تراکنش‌ها در رابط کیف پول به‌طور طبیعی به نظر می‌رسند در حالی که وجوه به سمت حمله‌کنندگان ارسال می‌شود.

کاربران هیچ نشانه بصری مبنی بر اینکه تراکنش‌هایشان به خطر افتاده است، ندارند تا زمانی که به تأیید تراکنش بلاک‌چین بپردازند و متوجه شوند وجوه به یک آدرس غیرمنتظره ارسال شده است.