Microsoft ostrzegł, że atakujący ukryli złośliwe oprogramowanie kradnące kryptowaluty w publicznych pakietach npm, co stwarza nowe ryzyko dla deweloperów, inwestorów kryptowalut i użytkowników portfeli.
Microsoft Threat Intelligence poinformował, że dwa skompromitowane pakiety npm, [email protected] i [email protected], „wykorzystywały repozytoria Hugging Face jako infrastrukturę do eksfiltracji danych”. Firma podała, że pakiety te wdrażają trojana zdalnego dostępu (RAT), który może zbierać naciśnięcia klawiszy, zrzuty ekranu i dane uwierzytelniające do portfeli kryptowalut.
Npm to publiczny rejestr oprogramowania używany przez deweloperów JavaScript do tworzenia aplikacji i narzędzi internetowych. Gdy deweloper instaluje zatruty pakiet, złośliwe oprogramowanie może działać cicho na urządzeniu i monitorować wrażliwe pliki, hasła lub dane portfela.
Kampania ta wyróżnia się tym, że atakujący wykorzystali Hugging Face, zaufaną platformę dla projektów sztucznej inteligencji i uczenia maszynowego, do przenoszenia skradzionych danych. Taka trasa może sprawić, że ruch sieciowy będzie wyglądał mniej podejrzanie niż bezpośrednie połączenie z nieznanym serwerem przestępczym.
Dla użytkowników kryptowalut stwarza to bezpośrednie zagrożenie bezpieczeństwa. Komputer dewelopera może przechowywać portfele przeglądarkowe, klucze prywatne, pliki z frazami seed, klucze API giełd, tokeny GitHub i dane logowania do chmury. Jeśli atakujący zbiorą te dane, mogą zaatakować portfele, repozytoria kodu i systemy handlowe.
Powiązane doniesienia crypto.news pokazują, że ataki na łańcuch dostaw oprogramowania pozostają aktualnym problemem dla sektora kryptowalut. Raport z 25 maja mówił, że kampania złośliwego oprogramowania TrapDoor rozprzestrzeniła się poprzez ponad 34 złośliwe pakiety w ekosystemach npm, PyPI i Rust.
Kampania ta celowała w deweloperów kryptowalut i AI, kradnąc dane portfeli, klucze API, dane uwierzytelniające do chmury i dostęp SSH za pośrednictwem fałszywych narzędzi deweloperskich. Pokazała również, jak atakujący teraz celują w ludzi i systemy używane do tworzenia aplikacji kryptowalutowych, a nie tylko w użytkowników końcowych.
Crypto.news poinformowało również w marcu, że Slow Fog ostrzegł deweloperów przed złośliwymi wydaniami Axios. Zatruwane wersje wprowadziły złośliwe oprogramowanie plain-crypto-js i naraziły deweloperów kryptowalut na wieloplatformowe RATy oraz skradzione dane uwierzytelniające za pośrednictwem npm.
Ostrzeżenie Microsoftu następuje po kolejnym raporcie o złośliwym oprogramowaniu od jego zespołów bezpieczeństwa. 26 maja Microsoft poinformował, że atakujący wykorzystali zatrute wyniki wyszukiwania i niektóre interakcje z chatbotami AI do rozprzestrzeniania fałszywych pobrań narzędzi PC, które instalowały złośliwe oprogramowanie do kopania GPU.
Kampania ta celowała w użytkowników z potężnymi kartami graficznymi, w tym graczy i entuzjastów sprzętu. Microsoft powiedział, że złośliwe oprogramowanie wykorzystywało ScreenConnect, narzędzia Microsoft .NET i fałszywe pobrania narzędzi takich jak CrystalDiskInfo i HWMonitor do uruchamiania koparek kryptowalut.
Najnowsze ostrzeżenie npm zwraca uwagę na podstawowe kroki bezpieczeństwa. Deweloperzy powinni audytować ostatnie instalacje pakietów, usuwać podejrzane zależności, zmieniać ujawnione dane uwierzelniające i sprawdzać aktywność portfela. Użytkownicy kryptowalut powinni unikać przechowywania fraz seed na podłączonych urządzeniach i weryfikować każdą transakcję portfela przed jej podpisaniem.
