资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
ETH
SOL
XRP
USDT恶意代码注入合法项目,加密货币用户资产安全受威胁
网络安全研究人员近日发现,恶意攻击者正通过篡改npm软件包,对加密货币用户发起复杂的恶意软件攻击。据报告显示,此次攻击主要针对Atomic和Exodus钱包用户,攻击者通过注入恶意代码劫持交易,将资金重定向至攻击者控制的钱包。
供应链攻击威胁持续升级
这类攻击通常源于开发者,他们往往在不知情的情况下将受感染的npm包安装到项目中。在此次攻击活动中,一个名为"pdf-to-office"的软件包被发现含有隐藏的恶意代码。该软件包表面看似正常,但在安装后会扫描用户设备上安装的加密货币钱包,并注入能够拦截和重定向交易的恶意代码。
网络安全研究人员指出,这种攻击对受害者影响极其严重,恶意代码能够在用户不知情的情况下,将加密货币交易重定向至攻击者控制的钱包。该恶意软件可针对多种数字资产实施攻击,包括以太坊、Solana、XRP和基于Tron的USDT。当用户尝试发送资金时,软件会实时将合法钱包地址替换为攻击者控制的地址。
攻击机制与代码注入分析
根据技术分析,此次攻击分为多个阶段。首先,当用户安装受感染的软件包时,攻击即开始。随后,攻击过程包括钱包识别、文件提取、恶意代码注入,最终实现交易劫持。攻击者还使用混淆技术隐藏其意图,使得传统安全工具难以检测,等用户发现时为时已晚。
安装后,恶意软件包会执行其有效载荷,针对已安装的钱包软件进行攻击。代码首先识别钱包应用文件的位置,然后针对基于Electron的应用程序使用的ASAR包格式进行攻击。恶意软件会搜索诸如"AppData/Local/Programs/atomic/resources/app.asar"等路径中的文件。一旦定位到目标文件,恶意软件会提取应用程序存档,注入恶意代码,然后重建存档。
注入的恶意代码专门针对钱包软件中的JavaScript文件,特别是"vendors.64b69c3b00e2a7914733.js"等供应商文件。恶意软件会修改交易处理代码,使用base64编码将真实钱包地址替换为攻击者的地址。例如,当用户尝试发送以太坊时,代码会将接收方地址替换为解码后的攻击者地址。
攻击持续性与信息收集
感染完成后,恶意软件会与命令控制服务器通信,发送包括用户主目录路径在内的安装状态信息。这使得攻击者能够跟踪成功感染的情况,并可能收集有关受感染系统的信息。据ReversingLabs称,即使删除了受感染的软件包,系统上的Web3钱包仍可能保持感染状态,显示出攻击的持续性。
网络安全专家提醒开发者和用户提高警惕,在安装和使用第三方软件包时要格外谨慎,建议使用可靠的安全工具进行检测,并定期更新软件以防范此类攻击。
