交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
恶意npm软件包被曝篡改加密钱包,窃取数字货币
研究人员近日发现,一个恶意软件包被上传至npm平台,该软件包能够秘密篡改本地安装的加密钱包版本,使攻击者能够拦截并重定向数字货币交易。这一发现由ReversingLabs在最新报告中披露。
攻击手法分析
此次攻击活动通过向本地安装的Atomic和Exodus钱包软件注入木马化代码,成功劫持了加密货币转账。攻击的核心是一个名为pdf-to-office的欺骗性npm包,该软件包伪装成用于将PDF文件转换为Office格式的库。
当该软件包被执行时,它会静默定位并修改受害者机器上特定版本的Atomic和Exodus钱包,将外发的加密货币交易重定向到由威胁行为者控制的钱包地址。
ReversingLabs指出,这一攻击活动体现了攻击策略的广泛转变:攻击者不再直接入侵开源库(这通常会引发社区的快速响应),而是越来越多地分发旨在"修补"受信任软件本地安装的软件包,其中包含隐蔽的恶意软件。
技术细节
pdf-to-office软件包于3月首次上传至npm,并在4月初进行了多次更新。尽管声称具有文件转换功能,但该软件包实际上缺乏真正的文件转换特性。
相反,其核心脚本执行了混淆代码,搜索本地安装的Atomic Wallet和Exodus Wallet,并用恶意变体覆盖关键应用程序文件。攻击者将resources/app.asar存档中的合法JavaScript文件替换为几乎相同的木马化版本,这些版本将用户预期的接收地址替换为攻击者拥有的base64解码钱包地址。
具体而言,Atomic Wallet的2.90.6和2.91.5版本成为主要目标,而Exodus Wallet的25.9.2和25.13.3版本也遭遇了类似攻击。
攻击影响与应对
一旦被修改,受感染的钱包将继续重定向资金,即使原始npm包已被删除。要彻底清除恶意代码,需要完全删除并重新安装钱包软件。
ReversingLabs还注意到该恶意软件具有持久性和混淆性。受感染系统会向攻击者控制的IP地址(178.156.149.109)发送安装状态数据,在某些情况下,还会窃取AnyDesk远程访问软件的压缩日志和跟踪文件,这表明攻击者可能试图进行更深入的系统渗透或证据清除。
行业警示
这一发现与3月份涉及ethers-provider2和ethers-providerz的类似攻击活动相呼应,后者通过修补ethers npm包来建立反向shell。这两起事件都凸显了针对加密领域的供应链攻击日益复杂化。
ReversingLabs警告称,这些威胁仍在不断演变,特别是在web3环境中,本地安装开源软件包的情况十分普遍。攻击者越来越多地依赖社会工程和间接感染方法,因为他们知道大多数组织都不会仔细检查已安装的依赖项。
报告指出:"这种修补攻击仍然有效,因为一旦软件包被安装且补丁被应用,即使源npm模块被移除,威胁仍然存在。"
安全建议
随着软件供应链攻击在数字资产领域变得越来越频繁和技术化,安全专家呼吁加强代码审计、依赖关系管理以及对本地应用程序变更的实时监控。调查人员已发布受影响文件的哈希值和攻击者使用的钱包地址作为入侵指标(IOCs),包括用于非法资金重定向的钱包地址,以及所有受感染软件包版本和相关木马化文件的SHA1指纹。
