网络安全研究人员发现了一个恶意 npm 包,它具有隐秘功能,可以将恶意代码注入 Windows 系统上 Atomic 和 Exodus 等加密货币钱包的桌面应用程序中。
一个名为nodejs-smtp的软件包,冒充了合法的电子邮件库nodemailer,具有相同的标语、页面样式和 README 描述。自 2025 年 4 月由名为“nikotimon”的用户上传到 npm 注册表以来,共吸引了347 次下载。目前,该软件包已不再可用。
Socket 研究员 Kirill Boychenko表示:“导入时,该软件包使用 Electron 工具解压 Atomic Wallet 的 app.asar,用恶意负载替换供应商包,重新打包应用程序,并通过删除其工作目录来清除痕迹。”
主要目标是用威胁行为者控制的硬编码钱包覆盖收件人地址,重定向比特币(BTC)、以太坊(ETH)、Tether(USDT 和 TRX USDT)、XRP(XRP)和 Solana(SOL)交易,有效地充当加密货币剪辑器。
话虽如此,该软件包通过充当基于 SMTP 的邮件程序来实现其声称的功能,以避免引起开发人员的怀疑。
该软件包仍然可以用作邮件程序,并公开了一个与 Nodemailer 兼容的嵌入式接口。这种功能上的保护降低了人们的怀疑,使应用程序测试能够通过,并且让开发人员几乎没有理由质疑其依赖性。
几个月前,ReversingLabs发现了一个名为“pdf-to-office”的 npm 包,该包通过解压与 Atomic 和 Exodus 钱包相关的“app.asar”档案并在其中修改 JavaScript 文件以引入 clipper 功能,从而实现了相同的目标。
“此次攻击活动展示了开发人员工作站上的常规导入如何悄悄地修改单独的桌面应用程序,并在重启后持续存在,”Boychenko 表示。“通过滥用导入时执行和 Electron 打包技术,一个类似的邮件程序会变成一个钱包窃取工具,在受感染的 Windows 系统上篡改 Atomic 和 Exodus。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
