Το κακόβουλο πακέτο npm στοχεύει τα Atomic Wallet και Exodus
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το κακόβουλο πακέτο npm στοχεύει τα Atomic Wallet και Exodus
https://www.secnews.gr/646025/kakovoulo-paketo-npm-stoxevei-atomic-wallet-exodus/
Apr 11th 2025, 11:41
by Absenta Mia
Οι κακόβουλοι παράγοντες συνεχίζουν να ανεβάζουν κακόβουλα πακέτα στο μητρώο npm, με σκοπό να τροποποιήσουν τις ήδη εγκατεστημένες τοπικές εκδόσεις νόμιμων βιβλιοθηκών και να εκτελέσουν κακόβουλο κώδικα, σε μια προσπάθεια που θεωρείται πιο υποχθόνια, για την εκτέλεση μιας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού.
Δείτε επίσης: Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
Το νεοανακαλυφθέν πακέτο, με την ονομασία pdf-to-office, προσποιείται ότι είναι ένα εργαλείο για τη μετατροπή αρχείων PDF σε έγγραφα Microsoft Word. Στην πραγματικότητα, όμως, περιέχει δυνατότητες για την εισαγωγή κακόβουλου κώδικα σε λογισμικό πορτοφολιών κρυπτονομισμάτων που σχετίζεται με το Atomic Wallet και το Exodus.
Το συγκεκριμένο πακέτο npm δημοσιεύθηκε για πρώτη φορά στις 24 Μαρτίου 2025 και έχει λάβει τρεις ενημερώσεις από τότε, αλλά πιθανότατα οι προηγούμενες εκδόσεις έχουν αφαιρεθεί από τους ίδιους τους συγγραφείς. Η τελευταία έκδοση, 1.1.2, ανέβηκε στις 8 Απριλίου και παραμένει διαθέσιμη για λήψη. Το πακέτο έχει κατέβει 334 φορές μέχρι σήμερα.
Η αποκάλυψη αυτή έρχεται μόλις λίγες εβδομάδες μετά την ανακάλυψη από την εταιρεία ασφάλειας της αλυσίδας προμήθειας λογισμικού δύο πακέτων npm, ονόματι ethers-provider2 και ethers-providerz, τα οποία σχεδιάστηκαν για να μολύνουν τοπικά εγκατεστημένα πακέτα και να δημιουργήσουν μια αντίστροφη σύνδεση με τον διακομιστή του απειλητικού παράγοντα μέσω SSH.
Δείτε ακόμα: Η ομάδα Lazarus μολύνει εκατοντάδες μέσω πακέτων npm
Αυτό που καθιστά αυτή την προσέγγιση ελκυστική για τους κακόβουλους παράγοντες είναι ότι επιτρέπει στο κακόβουλο λογισμικό να παραμένει στα συστήματα των προγραμματιστών ακόμη και μετά την αφαίρεση του κακόβουλου πακέτου.
Μια ανάλυση του pdf-to-office έχει αποκαλύψει ότι ο κακόβουλος κώδικας που είναι ενσωματωμένος στο πακέτο ελέγχει την ύπαρξη του αρχείου "atomic/resources/app.asar" στον φάκελο "AppData/Local/Programs" για να επιβεβαιώσει ότι το Atomic Wallet είναι εγκατεστημένο στον υπολογιστή Windows και εφόσον ισχύει, να εισάγει τη λειτουργία clipper.
Σε παρόμοιο πνεύμα, το payload έχει σχεδιαστεί επίσης για να τροποποιήσει το αρχείο "src/app/ui/index.js" που σχετίζεται με το πορτοφόλι Exodus. Ωστόσο, με μια ενδιαφέρουσα ανατροπή, οι επιθέσεις στοχεύουν σε δύο συγκεκριμένες εκδόσεις του Atomic Wallet (2.91.5 και 2.90.6) και του Exodus (25.13.3 και 25.9.2), προκειμένου να διασφαλιστεί ότι τα σωστά αρχεία JavaScript θα αντικατασταθούν.
Η αποκάλυψη αυτή έρχεται καθώς η ExtensionTotal ανέφερε 10 κακόβουλες επεκτάσεις του Visual Studio Code που κρυφά κατεβάζουν ένα σενάριο PowerShell, το οποίο απενεργοποιεί την ασφάλεια των Windows, δημιουργεί επιμονή μέσω προγραμματισμένων εργασιών και εγκαθιστά έναν cryptominer XMRig. Οι επεκτάσεις αυτές είχαν εγκατασταθεί συνολικά πάνω από ένα εκατομμύριο φορές πριν αφαιρεθούν.
Δείτε επίσης: Χάκερ αναπτύσσουν κακόβουλα πακέτα npm για να κλέψουν Solana Wallet Keys
Τα κακόβουλα πακέτα npm (npm malicious packages) είναι πακέτα που έχουν δημοσιευτεί στο npm (Node Package Manager) με σκοπό να προκαλέσουν βλάβη, να υποκλέψουν δεδομένα ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα ή εφαρμογές. Είναι ουσιαστικά πακέτα JavaScript ή TypeScript που περιέχουν κακόβουλο κώδικα.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το κακόβουλο πακέτο npm στοχεύει τα Atomic Wallet και Exodus
https://www.secnews.gr/646025/kakovoulo-paketo-npm-stoxevei-atomic-wallet-exodus/
Apr 11th 2025, 11:41
by Absenta Mia
Οι κακόβουλοι παράγοντες συνεχίζουν να ανεβάζουν κακόβουλα πακέτα στο μητρώο npm, με σκοπό να τροποποιήσουν τις ήδη εγκατεστημένες τοπικές εκδόσεις νόμιμων βιβλιοθηκών και να εκτελέσουν κακόβουλο κώδικα, σε μια προσπάθεια που θεωρείται πιο υποχθόνια, για την εκτέλεση μιας επίθεσης στην αλυσίδα εφοδιασμού λογισμικού.
Δείτε επίσης: Παραβίαση npm packages για κλοπή δεδομένων προγραμματιστών
Το νεοανακαλυφθέν πακέτο, με την ονομασία pdf-to-office, προσποιείται ότι είναι ένα εργαλείο για τη μετατροπή αρχείων PDF σε έγγραφα Microsoft Word. Στην πραγματικότητα, όμως, περιέχει δυνατότητες για την εισαγωγή κακόβουλου κώδικα σε λογισμικό πορτοφολιών κρυπτονομισμάτων που σχετίζεται με το Atomic Wallet και το Exodus.
Το συγκεκριμένο πακέτο npm δημοσιεύθηκε για πρώτη φορά στις 24 Μαρτίου 2025 και έχει λάβει τρεις ενημερώσεις από τότε, αλλά πιθανότατα οι προηγούμενες εκδόσεις έχουν αφαιρεθεί από τους ίδιους τους συγγραφείς. Η τελευταία έκδοση, 1.1.2, ανέβηκε στις 8 Απριλίου και παραμένει διαθέσιμη για λήψη. Το πακέτο έχει κατέβει 334 φορές μέχρι σήμερα.
Η αποκάλυψη αυτή έρχεται μόλις λίγες εβδομάδες μετά την ανακάλυψη από την εταιρεία ασφάλειας της αλυσίδας προμήθειας λογισμικού δύο πακέτων npm, ονόματι ethers-provider2 και ethers-providerz, τα οποία σχεδιάστηκαν για να μολύνουν τοπικά εγκατεστημένα πακέτα και να δημιουργήσουν μια αντίστροφη σύνδεση με τον διακομιστή του απειλητικού παράγοντα μέσω SSH.
Δείτε ακόμα: Η ομάδα Lazarus μολύνει εκατοντάδες μέσω πακέτων npm
Αυτό που καθιστά αυτή την προσέγγιση ελκυστική για τους κακόβουλους παράγοντες είναι ότι επιτρέπει στο κακόβουλο λογισμικό να παραμένει στα συστήματα των προγραμματιστών ακόμη και μετά την αφαίρεση του κακόβουλου πακέτου.
Μια ανάλυση του pdf-to-office έχει αποκαλύψει ότι ο κακόβουλος κώδικας που είναι ενσωματωμένος στο πακέτο ελέγχει την ύπαρξη του αρχείου "atomic/resources/app.asar" στον φάκελο "AppData/Local/Programs" για να επιβεβαιώσει ότι το Atomic Wallet είναι εγκατεστημένο στον υπολογιστή Windows και εφόσον ισχύει, να εισάγει τη λειτουργία clipper.
Σε παρόμοιο πνεύμα, το payload έχει σχεδιαστεί επίσης για να τροποποιήσει το αρχείο "src/app/ui/index.js" που σχετίζεται με το πορτοφόλι Exodus. Ωστόσο, με μια ενδιαφέρουσα ανατροπή, οι επιθέσεις στοχεύουν σε δύο συγκεκριμένες εκδόσεις του Atomic Wallet (2.91.5 και 2.90.6) και του Exodus (25.13.3 και 25.9.2), προκειμένου να διασφαλιστεί ότι τα σωστά αρχεία JavaScript θα αντικατασταθούν.
Η αποκάλυψη αυτή έρχεται καθώς η ExtensionTotal ανέφερε 10 κακόβουλες επεκτάσεις του Visual Studio Code που κρυφά κατεβάζουν ένα σενάριο PowerShell, το οποίο απενεργοποιεί την ασφάλεια των Windows, δημιουργεί επιμονή μέσω προγραμματισμένων εργασιών και εγκαθιστά έναν cryptominer XMRig. Οι επεκτάσεις αυτές είχαν εγκατασταθεί συνολικά πάνω από ένα εκατομμύριο φορές πριν αφαιρεθούν.
Δείτε επίσης: Χάκερ αναπτύσσουν κακόβουλα πακέτα npm για να κλέψουν Solana Wallet Keys
Τα κακόβουλα πακέτα npm (npm malicious packages) είναι πακέτα που έχουν δημοσιευτεί στο npm (Node Package Manager) με σκοπό να προκαλέσουν βλάβη, να υποκλέψουν δεδομένα ή να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα ή εφαρμογές. Είναι ουσιαστικά πακέτα JavaScript ή TypeScript που περιέχουν κακόβουλο κώδικα.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια