Атаки с использованием вредоносных npm-пакетов стали заметной угрозой для пользователей криптовалютных программ. Злоумышленники загружают поддельные пакеты в реестр npm для модификации легитимных библиотек и выполнения вредоносного кода, что является элементом более широкой стратегии атак на цепочки поставок. Целью данных атак являются пользователи криптовалютных кошельков, в частности Atomic Wallet и Exodus.
Один из таких пакетов, получивший название «pdf-to-office», маскируется под утилиту для конвертации PDF-файлов в документы Microsoft Word. На первый взгляд утилита выглядит безвредной, однако в ней заложены функции внедрения вредоносного кода, позволяющие подменять криптовалютные адреса при проведении транзакций и перенаправлять средства на счета злоумышленников.
Исследования, проведенные Лукией Валентиć из ReversingLabs, подтвердили: «фактически, если жертва пыталась отправить криптовалютные средства на другой кошелек, конечный адрес получателя заменялся на адрес, принадлежащий злоумышленнику». Пакет «pdf-to-office» впервые был опубликован 24 марта 2025 года, после чего прошло три обновления. Последняя версия 1.1.2 была выпущена 8 апреля 2025 года, а общее число загрузок составляет 334.
Вредоносный функционал активируется путем проверки наличия файла «atomic/resources/app.asar» в каталоге «AppData/Local/Programs», что указывает на установку Atomic Wallet на компьютере с Windows. При обнаружении файла один из компонентов архива заменяется на троянскую модификацию, обеспечивающую подмену исходящих криптовалютных адресов. Аналогичные изменения вносятся и в файл «src/app/ui/index.js» у кошелька Exodus, уязвимыми остаются версии Atomic Wallet 2.91.5 и 2.90.6, а также Exodus 25.13.3 и 25.9.2. Удаление пакета не устраняет внесенные изменения, что требует полной переустановки программного обеспечения для восстановления работоспособности.
Помимо пакета «pdf-to-office», специалисты обнаружили похожие npm-пакеты – «ethers-provider2» и «ethers-providerz». Эти утилиты заражают локальные пак
Изображение носит иллюстративный характер
Один из таких пакетов, получивший название «pdf-to-office», маскируется под утилиту для конвертации PDF-файлов в документы Microsoft Word. На первый взгляд утилита выглядит безвредной, однако в ней заложены функции внедрения вредоносного кода, позволяющие подменять криптовалютные адреса при проведении транзакций и перенаправлять средства на счета злоумышленников.
Исследования, проведенные Лукией Валентиć из ReversingLabs, подтвердили: «фактически, если жертва пыталась отправить криптовалютные средства на другой кошелек, конечный адрес получателя заменялся на адрес, принадлежащий злоумышленнику». Пакет «pdf-to-office» впервые был опубликован 24 марта 2025 года, после чего прошло три обновления. Последняя версия 1.1.2 была выпущена 8 апреля 2025 года, а общее число загрузок составляет 334.
Вредоносный функционал активируется путем проверки наличия файла «atomic/resources/app.asar» в каталоге «AppData/Local/Programs», что указывает на установку Atomic Wallet на компьютере с Windows. При обнаружении файла один из компонентов архива заменяется на троянскую модификацию, обеспечивающую подмену исходящих криптовалютных адресов. Аналогичные изменения вносятся и в файл «src/app/ui/index.js» у кошелька Exodus, уязвимыми остаются версии Atomic Wallet 2.91.5 и 2.90.6, а также Exodus 25.13.3 и 25.9.2. Удаление пакета не устраняет внесенные изменения, что требует полной переустановки программного обеспечения для восстановления работоспособности.
Помимо пакета «pdf-to-office», специалисты обнаружили похожие npm-пакеты – «ethers-provider2» и «ethers-providerz». Эти утилиты заражают локальные пак
