- 19,427
- 40
- 8 Ноя 2022
Разработчики уже потеряли сотни тысяч, даже не подозревая об этом.
Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет под названием «pdf-to-office», Для просмотра ссылки Войдиили Зарегистрируйся исследователями Reversing Labs, и якобы предназначенный для конвертации PDF-документов в Word. На деле он был создан с единственной целью — подмены криптокошельков у пользователей Atomic Wallet и Exodus.
Для просмотра ссылки Войдиили Зарегистрируйся 24 марта 2025 года пакет уже трижды обновлялся. Последняя версия 1.1.2 появилась 8 апреля и до сих пор доступна для скачивания. Всего его загрузили 334 раза. При установке он проверяет наличие файлового архива «app.asar» в директории Atomic Wallet, а затем встраивает вредоносный код прямо в программные компоненты кошелька.
Особенность атаки в том, что если вредоносный код находит нужную версию Atomic Wallet (2.91.5 или 2.90.6), он заменяет один из файлов архива на подменённый — с теми же функциями, но уже с подставным адресом криптокошелька, закодированным в Base64. Таким образом, при попытке отправки криптовалюты адрес получателя меняется на кошелёк злоумышленника.
То же самое происходит и с Exodus, но атака нацелена только на версии 25.13.3 и 25.9.2. Вредоносный код заменяет файл «index.js» в пользовательском интерфейсе кошелька, после чего программа начинает переводить средства на подконтрольный атакующим счёт.
Удаление пакета из системы не устраняет угрозу. Изменённые файлы остаются в криптокошельках и продолжают работать, даже если заражённый npm-пакет был удалён. Единственный способ устранить последствия — полное удаление программы и установка с нуля из проверенного источника.
Публикация этой информации стала продолжением серии разоблачений в области компрометации инструментов разработчиков. Ранее Для просмотра ссылки Войдиили Зарегистрируйся вредоносные npm-пакеты ethers-provider2 и ethers-providerz, заражавшие локальные библиотеки и открывавшие удалённый доступ через SSH.
Дополнительную угрозу представляют расширения для Visual Studio Code. Исследователи из ExtensionTotal Для просмотра ссылки Войдиили Зарегистрируйся десять вредоносных расширений, которые скачивали PowerShell-скрипт, отключающий защиту Windows, создавали задания в планировщике для сохранения постоянства и запускали майнер XMRig. В числе этих дополнений оказались подделки под известные расширения, такие как Prettier, Solidity Compiler, ChatGPT Agent и другие.
Общая численность установок этих расширений превысила миллион до момента их удаления. Злоумышленники даже внедряли легитимные версии, чтобы не вызывать подозрений и незаметно майнить криптовалюту на фоне обычной работы пользователя.
Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет под названием «pdf-to-office», Для просмотра ссылки Войди
Для просмотра ссылки Войди
Особенность атаки в том, что если вредоносный код находит нужную версию Atomic Wallet (2.91.5 или 2.90.6), он заменяет один из файлов архива на подменённый — с теми же функциями, но уже с подставным адресом криптокошелька, закодированным в Base64. Таким образом, при попытке отправки криптовалюты адрес получателя меняется на кошелёк злоумышленника.
То же самое происходит и с Exodus, но атака нацелена только на версии 25.13.3 и 25.9.2. Вредоносный код заменяет файл «index.js» в пользовательском интерфейсе кошелька, после чего программа начинает переводить средства на подконтрольный атакующим счёт.
Удаление пакета из системы не устраняет угрозу. Изменённые файлы остаются в криптокошельках и продолжают работать, даже если заражённый npm-пакет был удалён. Единственный способ устранить последствия — полное удаление программы и установка с нуля из проверенного источника.
Публикация этой информации стала продолжением серии разоблачений в области компрометации инструментов разработчиков. Ранее Для просмотра ссылки Войди
Дополнительную угрозу представляют расширения для Visual Studio Code. Исследователи из ExtensionTotal Для просмотра ссылки Войди
Общая численность установок этих расширений превысила миллион до момента их удаления. Злоумышленники даже внедряли легитимные версии, чтобы не вызывать подозрений и незаметно майнить криптовалюту на фоне обычной работы пользователя.
- Источник новости
- www.securitylab.ru
