Microsoft a avertizat că atacatorii au ascuns malware de furt de criptomonede în pachete publice npm, creând un nou risc pentru dezvoltatori, investitori cripto și utilizatorii de portofele.
Microsoft Threat Intelligence a declarat că două pachete npm compromise, [email protected] și [email protected], „abuzau depozitele Hugging Face ca infrastructură de exfiltrare”. Compania a spus că pachetele implementează un troian de acces la distanță, sau RAT, care poate colecta apăsări de taste, capturi de ecran și credențiale de portofele cripto.
Npm este un registru public de software folosit de dezvoltatorii JavaScript pentru a construi aplicații și instrumente web. Atunci când un dezvoltator instalează un pachet compromis, malware-ul poate rula discret pe dispozitiv și poate monitoriza fișiere sensibile, parole sau date de portofel.
Campania se remarcă prin faptul că atacatorii au folosit Hugging Face, o platformă de încredere pentru proiecte de inteligență artificială și învățare automată, pentru a muta datele furate. Această rută poate face ca traficul să pară mai puțin suspect decât o legătură directă către un server criminal necunoscut.
Pentru utilizatorii de criptomonede, acest lucru creează o preocupare directă de securitate. O mașină de dezvoltator poate stoca portofele de browser, chei private, fișiere cu fraze de recuperare, chei API de exchange, tokenuri GitHub și date de conectare la cloud. Dacă atacatorii colectează aceste detalii, pot viza portofele, depozite de cod și sisteme de tranzacționare.
Articolele conexe de la crypto.news arată că atacurile asupra lanțului de aprovizionare software rămân o problemă activă pentru sectorul cripto. Un raport din 25 mai a menționat că campania malware TrapDoor s-a răspândit prin peste 34 de pachete malițioase în ecosistemele npm, PyPI și Rust.
Această campanie a vizat dezvoltatorii de criptomonede și AI prin furtul de date de portofel, chei API, credențiale cloud și acces SSH prin instrumente false pentru dezvoltatori. A arătat, de asemenea, cum atacatorii vizează acum persoanele și sistemele folosite pentru a construi aplicații cripto, nu doar utilizatorii finali.
Crypto.news a raportat, de asemenea, în martie că Slow Fog a avertizat dezvoltatorii despre versiuni malițioase de Axios. Versiunile compromise au introdus malware plain-crypto-js și au expus dezvoltatorii cripto la RAT-uri cross-platform și credențiale furate prin npm.
Avertismentul Microsoft urmează unui alt raport despre malware de la echipele sale de securitate. Pe 26 mai, Microsoft a declarat că atacatorii au folosit rezultate de căutare compromise și unele interacțiuni cu chatbot-uri AI pentru a răspândi descărcări false de utilitare PC care instalau malware de mining GPU.
Această campanie a vizat utilizatorii cu plăci grafice puternice, inclusiv gameri și pasionați de hardware. Microsoft a declarat că malware-ul a abuzat de ScreenConnect, utilitarele Microsoft .NET și descărcări false pentru instrumente precum CrystalDiskInfo și HWMonitor pentru a rula mineri de criptomonede.
Cel mai recent avertisment npm menține atenția asupra pașilor de securitate de bază. Dezvoltatorii ar trebui să auditeze instalările recente de pachete, să elimine dependențele suspecte, să rotească credențialele expuse și să verifice activitatea portofelului. Utilizatorii de criptomonede ar trebui să evite stocarea frazelor de recuperare pe dispozitive conectate și să verifice fiecare tranzacție de portofel înainte de a o semna.
