L’attacco si verifica quando sviluppatori ignari integrano nei loro progetti pacchetti npm dannosi — come il pacchetto apparentemente innocuo “pdf-to-office”. Una volta installati, questi pacchetti analizzano silenziosamente il sistema della vittima alla ricerca di wallet installati e iniettano codice maligno progettato per reindirizzare le transazioni verso wallet controllati dagli attaccanti.
Il malware utilizza tecniche di offuscamento ed esegue un processo in più fasi: individua e scompatta file chiave nelle app wallet (come i file .asar usati nelle app Electron), inietta codice JavaScript malevolo e poi ricompone l’archivio — rendendo l’attacco difficile da rilevare. Modificando il software del wallet, il malware sostituisce l’indirizzo del destinatario con un indirizzo codificato in base64 appartenente agli attaccanti.
Le vittime possono così, senza saperlo, inviare fondi in criptovalute come Ethereum, XRP, Solana o USDT su rete Tron direttamente ai criminali informatici. Una volta compromesso, il malware comunica con un server di comando e controllo, inviando informazioni come il percorso del sistema e confermando l’avvenuta infezione.
I ricercatori di ReversingLabs hanno identificato questo comportamento analizzando richieste di rete, payload codificati e pattern di codice. Le loro scoperte evidenziano una preoccupante escalation degli attacchi alla supply chain del software, in particolare rivolti all’ecosistema delle criptovalute.
Source: Cyber Security News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.