Aktor-aktor ancaman terus mengunggah paket berbahaya ke registri NPM sehingga merusak dengan versi lokal perpustakaan yang sah untuk mengeksekusi kode berbahaya dalam apa yang dilihat sebagai upaya yang lebih licik untuk menggelar serangan rantai pasokan perangkat lunak.
Paket yang baru ditemukan, bernama PDF-ke-kantor, menyamar sebagai utilitas untuk mengubah file PDF ke dokumen Microsoft Word. Tetapi, pada kenyataannya, ia memiliki fitur untuk menyuntikkan kode berbahaya ke dalam perangkat lunak dompet cryptocurrency yang terkait dengan dompet atom dan eksodus.
“Secara efektif, seorang korban yang mencoba mengirim dana crypto ke dompet crypto lainnya akan memiliki alamat tujuan dompet yang dimaksudkan untuk satu milik aktor jahat,” kata peneliti ReversingLabs Lucija Valentić dalam sebuah laporan yang dibagikan kepada Hacker News.
Paket NPM yang dimaksud pertama kali diterbitkan pada 24 Maret 2025, dan telah menerima tiga pembaruan sejak saat itu tetapi tidak sebelum versi sebelumnya kemungkinan dihapus oleh penulis sendiri. Versi terbaru, 1.1.2, diunggah pada 8 April dan tetap tersedia untuk diunduh. Paket telah diunduh 334 kali hingga saat ini.
Pengungkapan ini datang hanya beberapa minggu setelah perusahaan keamanan rantai pasokan perangkat lunak menemukan dua paket NPM bernama Ethers-Provider2 dan Ethers-Providerz yang direkayasa untuk menginfeksi paket yang diinstal secara lokal dan membuat shell terbalik untuk terhubung ke server aktor ancaman melalui SSH.
Apa yang membuat pendekatan ini menjadi opsi yang menarik bagi para aktor ancaman adalah memungkinkan malware bertahan pada sistem pengembang bahkan setelah paket berbahaya dihapus.
Analisis PDF-to-Office telah mengungkapkan bahwa kode jahat yang tertanam di dalam paket memeriksa keberadaan arsip “atomik/sumber daya/aplikasi
“Jika arsip hadir, kode jahat akan menimpa salah satu file dengan versi trojanisasi baru yang memiliki fungsionalitas yang sama dengan file yang sah, tetapi mengalihkan alamat crypto yang keluar di mana dana akan dikirim dengan alamat dompet Web3 yang dikodekan oleh basis 64 milik aktor ancaman,” kata Valentić.
Dalam nada yang sama, payload juga dirancang untuk trojanize file “src/app/ui/index.js” yang terkait dengan dompet Keluaran.
Tetapi dalam twist yang menarik, serangan tersebut ditujukan untuk dua versi spesifik masing -masing dari dompet atom (2.91.5 dan 2.90.6) dan Keluaran (25.13.3 dan 25.9.2) sehingga dapat memastikan bahwa file JavaScript yang benar ditimpa.
“Jika, secara kebetulan, paket PDF-ke-kantor telah dihapus dari komputer, perangkat lunak Web3 Wallets 'akan tetap terganggu dan terus menyalurkan dana crypto ke dompet penyerang,” kata Valentić. “Satu-satunya cara untuk sepenuhnya menghapus file trojanisasi berbahaya dari perangkat lunak Web3 Wallets 'adalah dengan menghapusnya sepenuhnya dari komputer, dan menginstal ulang mereka.”
Pengungkapan ini hadir sebagai ExtensionTotal Detail 10 Ekstensi Kode Studio Visual berbahaya yang secara diam -diam mengunduh skrip PowerShell yang menonaktifkan Windows Security, membuat kegigihan melalui tugas yang dijadwalkan, dan menginstal cryptominer XMRIG.
Ekstensi dipasang secara kolektif lebih dari satu juta kali sebelum diturunkan. Nama ekstensi di bawah ini –
- Lebih cantik – kode untuk vscode (oleh lebih cantik)
- Perselisihan Kehadiran Kaya untuk VS Code (oleh Mark H)
- ROJO – ROBLOX Studio Sync (oleh Evaera)
- Solidity Compiler (oleh VScode Developer)
- Claude AI (oleh Mark H)
- Golang Compiler (oleh Mark H)
- Agen chatgpt untuk vscode (oleh mark h)
- HTML Obfuscator (oleh Mark H)
- Python Obfuscator untuk VScode (oleh Mark H)
- Kompiler karat untuk vscode (dengan tanda h)
“Para penyerang menciptakan serangan multi-tahap yang canggih, bahkan memasang ekstensi sah yang mereka berikan untuk menghindari meningkatkan kecurigaan saat menambang cryptocurrency di latar belakang,” kata ExtensionTotal.
