De aanval begint wanneer nietsvermoedende ontwikkelaars kwaadaardige npm-pakketten — zoals het ogenschijnlijk onschuldige “pdf-to-office” — in hun projecten integreren. Zodra het pakket is geïnstalleerd, scant het in het geheim het systeem van het slachtoffer op geïnstalleerde wallets en injecteert het schadelijke code die ontworpen is om cryptotransacties om te leiden naar wallets die door de aanvallers worden beheerd.
De malware maakt gebruik van verbergingstechnieken en voert een meerstapsaanval uit: het lokaliseert en pakt belangrijke bestanden uit in wallet-apps (zoals .asar-bestanden die gebruikt worden in Electron-applicaties), injecteert kwaadaardige JavaScript-code en verpakt de bestanden vervolgens opnieuw. Dit maakt de aanval moeilijk te detecteren. Door de walletsoftware aan te passen, vervangt de malware het echte ontvangeradres door een in base64 gecodeerd adres van de aanvallers.
Slachtoffers kunnen daardoor onbewust geld versturen in meerdere cryptovaluta — waaronder Ethereum, XRP, Solana of USDT op Tron — rechtstreeks naar cybercriminelen. Na infectie communiceert de malware met een command-and-controlserver, waarbij gegevens zoals het gebruikerspad worden verzonden om de succesvolle infectie te bevestigen.
Onderzoekers van ReversingLabs identificeerden het kwaadaardige gedrag door het analyseren van netwerkverkeer, gecodeerde payloads en verdachte codepatronen. De bevindingen benadrukken de toenemende dreiging van supply chain-aanvallen binnen het crypto-ecosysteem.
Source: Cyber Security News
Om potentiële bedreigingen te beperken, is het belangrijk om extra maatregelen voor cyberbeveiliging te nemen met behulp van een vertrouwde partner zoals INFRA www.infrascan.net, of u kunt het zelf proberen via check.website.