Недавнее исследование, проведенное Socket, выявило два новые вредоносные пакета npm: pumptoolforvolumeandcomment и его оболочку debugdogs. Оба пакета были созданы хакером под псевдонимом olumideyo и их основная цель – кража конфиденциальной информации о криптовалютах и учетных данных платформы BullX.
Как работает зловредный код?
Основная полезная нагрузка доставляется через pumptoolforvolumeandcomment, который расшифровывает скрытый вредоносный код. Этот код нацелен на:
- Криптовалютные ключи
- Файлы кошельков
- Торговые данные с платформы BullX
Утечка данных происходит через Telegram-бота, что обеспечивает быструю передачу украденной информации. При этом вредоносная программа работает в UNIX-подобных средах и нацелена на операционные системы Linux и macOS.
Поиск и сбор данных
Вредоносное ПО выполняет проверку конфиденциальных каталогов, используя пользовательские пути такие как:
- ~/Documents
- /media
- /Volumes
Идентифицированные типы файлов, которые могут содержать ценную информацию, включают:
- .txt
- .env
- .docs
- .log
- .cfg
- .ini
Хакер использует регулярные выражения для определения шаблонов, указывающих на ключи криптовалютного кошелька, что подтверждает его намерение извлечь учетные данные, связанные с криптографией. После успешного обнаружения данные собираются в структурированный JSON-файл (fss.json) и отправляются через Telegram, что облегчает фильтрацию в режиме реального времени.
Дополнительные векторы атаки
Пакет debugdogs действует как дополнительный вектор, гарантируя, что пользователи, установившие эту оболочку, непреднамеренно активируют вредоносные функции pumptoolforvolumeandcomment. Эта тактика подчеркивает растущую проблему уязвимости цепочки поставок программного обеспечения.
Использование Telegram для утечки данных также указывает на его привлекательность для злоумышленников благодаря простоте настройки и использованию для получения украденной информации.
Необходимость усиленных мер безопасности
Этот инцидент подчеркивает острую необходимость в усиленных мерах безопасности в экосистемах разработки программного обеспечения, особенно для приложений, работающих с криптовалютами. Внедрение автоматизированных инструментов анализа безопасности может значительно снизить риски, связанные с атаками на цепочки поставок.
С учетом всего вышесказанного, защита пользователей от потенциальных финансовых потерь и несанкционированного доступа к активам становится более актуальной, чем когда-либо.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новые угрозы: вредоносные пакеты npm атакуют крипто-трейдеров".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.