حمله بدافزار: سرقت خلسهآمیز رمزارز از کیف پولها
مفاهیم کلیدی- سرقت خلسهآمیز رمزارزها از کیف پولهای npm آلوده
- حمله چندمرحلهای با تکنیکهای پیشرفته پنهانسازی
- تغییر مسیر تراکنشها به آدرسهای تحت کنترل مهاجم
خبر بدافزار رمزارزی: سرقت خلسهآمیز رمزارزها از کیف پولها
محققان امنیت سایبری جزئیات یک کمپین بدافزاری را منتشر کردند که هدف آن شبکههای Ethereum، XRP و Solana است. این حمله عمدتاً کاربران کیف پولهای Atomic و Exodus را از طریق پکیجهای npm آلوده هدف قرار داده و تراکنشها را بدون آگاهی مالک به آدرسهای تحت کنترل مهاجم تغییر مسیر میدهد.
حمله زمانی آغاز میشود که توسعهدهندگان به طور ناآگاهانه پکیجهای npm تروجان شده را در پروژههای خود نصب میکنند. محققان پکیج «pdf-to-office» را که ظاهراً معتبر است ولی کد مخرب پنهان دارد، شناسایی کردند. پس از نصب، این پکیج سیستم را برای یافتن کیف پولهای رمزارزی اسکن کرده و کدهای مخرب را تزریق میکند تا تراکنشها را تغییر مسیر دهد.
محققان در گزارش خود عنوان کردند: «این کمپین جدید نشاندهنده تشدید هدف قرار دادن کاربران رمزارزی از طریق حملات زنجیره تأمین نرمافزار است.» بدافزار قادر است تراکنشها را در چندین رمزارز از جمله Ethereum (ETH)، USDT مبتنی بر Tron، XRP و Solana (SOL) هدایت کند.
ReversingLabs با تحلیل پکیجهای npm مشکوک، این حمله را شناسایی کرده و شاخصهای متعددی از رفتار مخرب از جمله ارتباطات URL مشکوک و الگوهای کدی مشابه تهدیدهای پیشین را کشف نمود. بررسیهای فنی آنها حملهای چندمرحلهای را نشان داد که از تکنیکهای پیشرفته پنهانسازی برای دور زدن تشخیص استفاده میکند.
فرآیند آلودهسازی از جایی آغاز میشود که پکیج مخرب payload خود را اجرا کرده و به نرمافزارهای کیف پول نصبشده در سیستم حمله میکند. کد به طور خاص در مسیرهای معینی به دنبال فایلهای برنامه میگردد و پس از یافتن آنها، آرشیو مربوطه را استخراج میکند. این فرایند شامل ایجاد دایرکتوریهای موقت، استخراج فایلهای برنامه، تزریق کد مخرب و بستهبندی مجدد آنها به گونهای است که ظاهر طبیعی به خود بگیرد.
بدافزار کدهای مربوط به مدیریت تراکنش را تغییر داده تا آدرسهای معتبر کیف پول را با آدرسهای تحت کنترل مهاجم جایگزین کند؛ این کار با استفاده از رمزگذاری base64 انجام میشود. برای مثال، هنگام تلاش کاربر برای ارسال ETH، کد آدرس گیرنده را با آدرسی که از یک رشته base64 رمزگشایی شده تغییر میدهد.
تأثیر این بدافزار میتواند فاجعهآمیز باشد، چرا که تراکنشها در رابط کاربری کیف پول بهطور عادی نمایش داده میشوند، در حالی که وجوه به آدرسهای غیرمنتظره منتقل میشوند. کاربران تا زمانی که تراکنشهای بلاکچینی خود را بررسی نکنند و متوجه انتقال وجوه به آدرس ناآشنا نشوند، هیچ نشانهای از سرقت ندارند.
