Поделиться
В центральном репозитории JavaScript найден троян, тайно атакующий криптокошельки
Невинный с виду конвертер PDF-файлов подменяет адреса исходящих транзакций, так что криптовалюта достается не тем, кому она предназначалась. Выявить вредонос помог ИИ.
Троянизируй это
В репозитории npm выявлен еще один вредоносный пакет, который уже успели скачать более 330 раз. С его помощью злоумышленники надеются подменить уже установленные версии легитимных библиотек так, чтобы скрытно внести вредоносное содержимое в криптокошельки.
Репозиторий NPM (Node Package Manager) — центральный репозиторий, где публикуются общедоступные пакеты для JavaScript.
Речь идет об npm-пакете pdf-to-office, который выдается за утилиту для конвертации PDF-файлов в документы Microsoft Word. На самом деле, программный компонент содержит функции внедрения кода в программные криптокошельки Atomic Wallet и Exodus, и связанное с ними ПО.
Как установили эксперты компании ReversingLabs, в конечном счете вредонос подменяет адрес предполагаемого получателя криптовалютной транзакции на совершенно другой - естественно, находящийся под контролем злоумышленников.
Пакет npm был опубликован 24 марта 2025 г. и с тех пор трижды обновлялся. Предыдущие версии были с npm удалены (вероятно, самими создателями вредоноса), но последняя, датированная 8 апреля, до сих пор доступна.
Анализ вредоносной программы показал, что она проверяет присутствие файла atomic/resources/app.asar или src/app/ui/index.js в каталоге /AppData/Local/Programs, что свидетельствует о присутствии кошельков Atomic Wallet или Exodus в системе.
В случае обнаружения, вредонос перезаписывает определенные файлы троянизированной версией, где к легитимной функциональности добавляется перенаправление транзакций на кошелек злоумышленника.
И и И спешат на помощь
Что интересно, атаке подвергаются только определенные версии кошельков - 2.91.5 и 2.90.6 в отношении Atomic Wallet и 25.13.3 и 25.9.2 в отношении Exodus.
Если пакет pdf-to-office после компрометации кошельков удаляется из системы, то в самих кошельках вредоносное содержимое сохраняется.
Единственный способ избавиться от проблемы - это полностью удалить кошельки и все их программные компоненты и переустановить заново.
Эксперты, исследовавшие программу, отметили, что ее вредоносную природу выявили алгоритмы детектирования на базе искусственного интеллекта, которые были обучены на примерах других кампаний с использованием репозиториев npm в качестве каналов доставки вредоносного ПО.
«Обучать ИИ-алгоритмы детектирования на основе предыдущих вредоносных кампаний выглядит вполне логичным решением хотя бы потому, что, с функциональной точки зрения, вредоносные программы редко представляют собой что-то оригинальное и необычное», - отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ.
Эксперт добавил, впрочем, что авторы вредоносного ПО вполне могут начать добавлять какой-либо элемент непредсказуемости в логику выполнения вредоносной программы, но если ИИ способен определить ее конечное назначение, то эти ухищрения вряд ли помогут.
Поделиться
Короткая ссылка
