Dreigingsacteurs blijven kwaadaardige pakketten uploaden naar het NPM-register om te knoeien met reeds geïnstalleerde lokale versies van legitieme bibliotheken en het uitvoeren van kwaadaardige code in wat wordt gezien als een slukere poging om een aanval van software te bevorderen.
Het nieuw ontdekte pakket, genaamd PDF-to-office, vermomt als een hulpprogramma voor het converteren van PDF-bestanden naar Microsoft Word-documenten. Maar in werkelijkheid herbergt het functies om kwaadaardige code te injecteren in cryptocurrency -portemonnee -software geassocieerd met atomaire portemonnee en Exodus.
“Effectief zou een slachtoffer dat probeerde crypto -fondsen naar een andere crypto -portemonnee te sturen, het beoogde portemonnee bestemmingsadres hebben omwisseld voor iemand die tot de kwaadaardige acteur hoorde,” zei Reversinglabs -onderzoeker Lucija Valentić in een rapport dat werd gedeeld met het Hacker News.
Het NPM -pakket in kwestie werd voor het eerst gepubliceerd op 24 maart 2025 en heeft sindsdien drie updates ontvangen, maar niet voordat de vorige versies waarschijnlijk door de auteurs zelf werden verwijderd. De nieuwste versie, 1.1.2, is geüpload op 8 april en blijft beschikbaar om te downloaden. Het pakket is tot nu toe 334 keer gedownload.
De openbaarmaking komt slechts enkele weken nadat het beveiligingsbeveiligingsbedrijf van software twee NPM-pakketten met de naam Ethers-Provider2 en Ethers-Providerz die zijn ontworpen om lokaal geïnstalleerde pakketten te infecteren en een omgekeerde shell op te zetten om verbinding te maken met de server van de dreigingsacteur over SSH.
Wat deze aanpak een aantrekkelijke optie voor dreigingsacteurs maakt, is dat het de malware in staat stelt om op ontwikkelaarssystemen te blijven bestaan, zelfs nadat het kwaadaardige pakket is verwijderd.
Een analyse van PDF-to-office heeft onthuld dat de kwaadaardige code ingebed in het pakket controleert op de aanwezigheid van het archief “Atomic/Resources/App.Asar” in de map “AppData/Local/Programs” om vast te stellen dat Atomic Wallet op de Windows-computer is geïnstalleerd op de Windows-computer, en zo ja, de clipper-functionaliteit introduceren.
“Als het archief aanwezig was, zou de kwaadaardige code een van zijn bestanden overschrijven met een nieuwe Trojanized-versie die dezelfde functionaliteit had als het legitieme bestand, maar het uitgaande crypto-adres schakelde waar fondsen zouden worden gestuurd met het adres van een Base64-gecodeerde Web3-portemonnee die bij de dreigingsacteur was,” zei Valentić.
Op dezelfde manier is de payload ook ontworpen om het bestand “src/app/ui/index.js” te trojaniseren die zijn geassocieerd met de Exodus -portemonnee.
Maar in een interessante wending zijn de aanvallen gericht op twee specifieke versies elk van beide atomaire portemonnee (2.91.5 en 2.90.6) en Exodus (25.13.3 en 25.9.2) om ervoor te zorgen dat de juiste JavaScript -bestanden worden overschreven.
“Als het pakket PDF-to-office bij toeval van de computer werd verwijderd, zou de software van de Web3 Wallets gecompromitteerd blijven en crypto-fondsen blijven kanaliseren naar de portemonnee van de aanvallers,” zei Valentić. “De enige manier om de kwaadaardige Trojanised-bestanden van de software van de Web3 Wallets volledig te verwijderen, zou zijn om ze volledig van de computer te verwijderen en ze opnieuw te installeren.”
De openbaarmaking komt als extensiontotale gedetailleerde 10 kwaadaardige visuele studiocodextensies die een pealthily een PowerShell -script downloaden dat Windows Security uitschakelt, doorzettingsvermogen wordt vastgesteld door middel van geplande taken en een XMRIG -cryptominer installeert.
De uitbreidingen werden gezamenlijk meer dan een miljoen keer geïnstalleerd voordat ze werden verwijderd. De namen van de extensies zijn hieronder –
- Mooier – code voor VScode (door mooier)
- Discord rijke aanwezigheid voor VS -code (door Mark H)
- Rojo – Roblox Studio Sync (door Evaera)
- Solidity Compiler (door VScode Developer)
- Claude Ai (door Mark H)
- Golang -compiler (door Mark H)
- Chatgpt -agent voor VScode (door Mark H)
- Html obfuscator (door Mark H)
- Python Obfuscator voor VScode (door Mark H)
- Rustcompiler voor VScode (door Mark H)
“De aanvallers creëerden een geavanceerde multi-fase aanval, waarbij zelfs de legitieme uitbreidingen worden geïnstalleerd die ze impliceerden om te voorkomen dat ze vermoeden verhogen tijdens het mijnen van cryptocurrency op de achtergrond,” zei ExtensionTotal.
