Kripto para topluluğunu hedef alan ve giderek artan siber saldırı dalgası karşısında tehdit unsurları, Atomic Wallet ve Exodus dahil olmak üzere yaygın olarak kullanılan Web3 cüzdanlarını tehlikeye atmayı amaçlayan sofistike bir yazılım tedarik zinciri başlattı.
ReversingLabs (RL) araştırmacılarına göre, kötü niyetli saldırı kampanyasının merkezinde JavaScript ve Node.js geliştiricileri için popüler bir platform olan npm paket yöneticisi yer alıyor. Saldırganlar, PDF dosyalarını Microsoft Office formatlarına dönüştürmek için bir yardımcı program olarak yanlış bir şekilde tanıtılan pdf-to-office adlı aldatıcı bir paket yüklüyorlar. Bunun yerine paket, yasal kripto cüzdan yazılımlarının yerel kurulumlarını ele geçirmek için tasarlanmış kötü amaçlı kodlar taşıyor.
Pdf-to-office paketi çalıştırıldıktan sonra, Atomic Wallet ve Exodus’un yerel olarak yüklenmiş sürümlerine sessizce kötü amaçlı yamalar enjekte ediyor. Bu yamalar, meşru kodu, saldırganların kripto para işlemlerini engellemesine ve yeniden yönlendirmesine olanak tanıyan değiştirilmiş bir sürümle değiştiriyor. Uygulamada, para göndermeye çalışan kullanıcılar, işlemlerinin saldırganlar tarafından kontrol edilen bir cüzdana yönlendirildiğini ve herhangi bir görünür müdahale belirtisi olmadığını tespit ediyordu.
Saldırı, ince ve giderek daha popüler hale gelen bir teknikten yararlandı: Kötü niyetli kişiler artık doğrudan upstream açık kaynak paketlerini ele geçirmek yerine, kurbanın sisteminde halihazırda yüklü olan meşru yazılımlara yama uygulayarak zararlı kodları yerel ortamlara yerleştiriyor.
pdf-to-office paketi ilk olarak Mart 2025’te npm’de ortaya çıktı ve art arda birden fazla sürümü yayınlandı. En son sürüm olan 1.1.2, 1 Nisan’da piyasaya sürüldü. RL araştırmacıları, Spectra Assure platformundaki makine öğrenimi odaklı davranış analizini kullanarak paketi tespit etti. Kodun, son npm kötü amaçlı yazılım kampanyalarında yaygın bir kırmızı bayrak olan gizlenmiş JavaScript içerdiği tespit edildi.
Kötü amaçlı paket silindikten sonra bile etkilerinin devam etmesi dikkat çekiciydi. Web3 cüzdanları yamalandıktan sonra, sadece sahte npm paketini kaldırmak tehlikeyi ortadan kaldırmadı. Mağdurların trojan bileşenleri kaldırmak ve cüzdan bütünlüğünü yeniden sağlamak için cüzdan uygulamalarını tamamen kaldırıp yeniden yüklemeleri gerekiyordu.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kripto Para Kullanıcılarını Etkileyen Yeni Trojan Alarmı! Bu İsimli Dosyayı Sakın İndirmeyin!
Kripto para topluluğunu hedef alan ve giderek artan siber saldırı dalgası karşısında tehdit unsurları, Atomic Wallet ve Exodus dahil olmak üzere yaygın olarak kullanılan Web3 cüzdanlarını tehlikeye atmayı amaçlayan sofistike bir yazılım tedarik zinciri başlattı.
ReversingLabs (RL) araştırmacılarına göre, kötü niyetli saldırı kampanyasının merkezinde JavaScript ve Node.js geliştiricileri için popüler bir platform olan npm paket yöneticisi yer alıyor. Saldırganlar, PDF dosyalarını Microsoft Office formatlarına dönüştürmek için bir yardımcı program olarak yanlış bir şekilde tanıtılan pdf-to-office adlı aldatıcı bir paket yüklüyorlar. Bunun yerine paket, yasal kripto cüzdan yazılımlarının yerel kurulumlarını ele geçirmek için tasarlanmış kötü amaçlı kodlar taşıyor.
Pdf-to-office paketi çalıştırıldıktan sonra, Atomic Wallet ve Exodus’un yerel olarak yüklenmiş sürümlerine sessizce kötü amaçlı yamalar enjekte ediyor. Bu yamalar, meşru kodu, saldırganların kripto para işlemlerini engellemesine ve yeniden yönlendirmesine olanak tanıyan değiştirilmiş bir sürümle değiştiriyor. Uygulamada, para göndermeye çalışan kullanıcılar, işlemlerinin saldırganlar tarafından kontrol edilen bir cüzdana yönlendirildiğini ve herhangi bir görünür müdahale belirtisi olmadığını tespit ediyordu.
Saldırı, ince ve giderek daha popüler hale gelen bir teknikten yararlandı: Kötü niyetli kişiler artık doğrudan upstream açık kaynak paketlerini ele geçirmek yerine, kurbanın sisteminde halihazırda yüklü olan meşru yazılımlara yama uygulayarak zararlı kodları yerel ortamlara yerleştiriyor.
pdf-to-office paketi ilk olarak Mart 2025’te npm’de ortaya çıktı ve art arda birden fazla sürümü yayınlandı. En son sürüm olan 1.1.2, 1 Nisan’da piyasaya sürüldü. RL araştırmacıları, Spectra Assure platformundaki makine öğrenimi odaklı davranış analizini kullanarak paketi tespit etti. Kodun, son npm kötü amaçlı yazılım kampanyalarında yaygın bir kırmızı bayrak olan gizlenmiş JavaScript içerdiği tespit edildi.
Kötü amaçlı paket silindikten sonra bile etkilerinin devam etmesi dikkat çekiciydi. Web3 cüzdanları yamalandıktan sonra, sadece sahte npm paketini kaldırmak tehlikeyi ortadan kaldırmadı. Mağdurların trojan bileşenleri kaldırmak ve cüzdan bütünlüğünü yeniden sağlamak için cüzdan uygulamalarını tamamen kaldırıp yeniden yüklemeleri gerekiyordu.