L’attaque se déroule lorsque des développeurs intègrent à leur insu des paquets npm malveillants — tels que le paquet apparemment inoffensif “pdf-to-office” — dans leurs projets. Une fois installés, ces paquets analysent discrètement le système de la victime à la recherche de portefeuilles installés et injectent du code malveillant destiné à rediriger les transactions vers des portefeuilles contrôlés par les attaquants.
Le malware utilise des techniques d’obfuscation et suit un processus en plusieurs étapes : il localise et extrait les fichiers clés des applications de portefeuille (comme les fichiers .asar utilisés dans les applications Electron), injecte du code JavaScript malveillant, puis recompresse les fichiers — rendant l’attaque difficile à détecter. En modifiant le logiciel du portefeuille, le malware remplace l’adresse du destinataire par une adresse encodée en base64 appartenant aux attaquants.
Les victimes peuvent ainsi envoyer, sans le savoir, des fonds en diverses cryptomonnaies — comme Ethereum, XRP, Solana ou USDT sur le réseau Tron — directement aux cybercriminels. Une fois le système compromis, le malware communique avec un serveur de commande et de contrôle, envoyant des informations telles que le chemin du répertoire utilisateur pour confirmer l’infection.
Les chercheurs de ReversingLabs ont identifié ce comportement malveillant en analysant les requêtes réseau, les charges utiles encodées et les motifs de code. Ces découvertes mettent en lumière une escalade continue des attaques sur la chaîne d’approvisionnement logicielle, en particulier dans l’écosystème des cryptomonnaies.
Source: Cyber Security News
Pour atténuer les menaces potentielles, il est important de mettre en place des mesures de cybersécurité supplémentaires avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer par vous-même via check.website.