Los actores de amenaza continúan cargando paquetes maliciosos en el registro de NPM para manipular las versiones locales ya instaladas de bibliotecas legítimas y ejecutar código astuto en lo que se ve como un intento más cómodo de organizar un ataque de la prisión de suministro de software.
El paquete recién descubierto, llamado PDF-to-office, se disfraza como una utilidad para convertir archivos PDF en documentos de Microsoft Word. Pero, en ingenuidad, alberga características para inyectar código astuto en el software de billetera de criptomonedas asociado con la billetera atómica y el éxodo.
“Efectivamente, una víctima que intentó destinar fondos criptográficos a otra billetera criptográfica tendría la dirección de destino de la billetera prevista cambiada por uno que pertenece al actor astuto”, dijo la investigadora de reversinglabs Lucija Valentić en un crónica compartido con The Hacker News.
El paquete NPM en cuestión se publicó por primera vez el 24 de marzo de 2025, y ha recibido tres actualizaciones desde entonces, pero no antaño de que los autores eliminaran las versiones anteriores. La última lectura, 1.1.2, se cargó el 8 de abril y permanece habitable para descargar. El paquete se ha descargado 334 veces hasta la plazo.
La divulgación se produce solo semanas luego de que la firma de seguridad de la prisión de suministro de software descubrió dos paquetes NPM llamados Ethers-Provider2 y Ethers-Providerz que fueron diseñados para infectar paquetes instalados localmente y establecer un shell inverso para conectarse al servidor del actor de amenaza sobre SSH.
Lo que hace que este enfoque sea una opción atractiva para los actores de amenaza es que permite que el malware persista en los sistemas de desarrolladores incluso luego de eliminar el paquete astuto.
Un disección de PDF a la oficina ha revelado que el código astuto integrado en el interior del paquete verifica la presencia del archivo “Atomic/Resources/App.Abrumar” en el interior de la carpeta “AppData/Específico/Programas” para determinar que se instala la billetera atómica en la computadora de Windows, y de ser así, introduzca la funcionalidad del recortadura.
“Si el archivo estuviera presente, el código astuto sobrescribiría uno de sus archivos con una nueva lectura troyanizada que tenía la misma funcionalidad que el archivo probado, pero cambió la dirección de oculto saliente donde los fondos se enviarían con la dirección de una billetera Web3 codificada Base64 que pertenece al actor de amenazas”, dijo Valentić.
En una tendencia similar, la carga útil además está diseñada para troyanizar el archivo “SRC/App/UI/Index.js” asociado con la billetera Exodus.
Pero en un locución interesante, los ataques están dirigidos a dos versiones específicas cada una de las billeteras atómicas (2.91.5 y 2.90.6) y Exodus (25.13.3 y 25.9.2) para avalar que los archivos JavaScript correctos se sobrescriban.
“Si, por casualidad, el paquete PDF a la oficina se eliminó de la computadora, el software de las billeteras Web3 permanecería comprometido y continuaría canalizando los fondos criptográficos a la billetera de los atacantes”, dijo Valentić. “La única forma de eliminar por completo los archivos troyados maliciosos del software de Web3 Wallets sería eliminarlos por completo de la computadora y reinstalarlos”.
La divulgación se produce cuando ExtensionTotal detallada 10 extensiones de código de estudio de Visual Astuto que descargan sigilosamente un script PowerShell que desactiva la seguridad de Windows, establece la persistencia a través de tareas programadas e instala un XMrig Cryptominer.
Las extensiones se instalaron colectivamente más de un millón de veces antaño de ser derribados. Los nombres de las extensiones están a continuación –
- Prettier – Código para VScode (por Prettier)
- Presencia rica en discordia para el código VS (por Mark H)
- ROJO – Roblox Studio Sync (por Evaera)
- Compilador de solidez (por desarrollador de VSCode)
- Claude Ai (por Mark H)
- Compilador Golang (por Mark H)
- Agente de chatgpt para VScode (por Mark H)
- HTML Ofuscator (por Mark H)
- Python Ofuscator para VScode (por Mark H)
- Compilador de óxido para VScode (por Mark H)
“Los atacantes crearon un sofisticado ataque de varias etapas, incluso instalando las extensiones legítimas que se suplicaron para evitar elevar sospechas mientras minera la criptomoneda en segundo plano”, dijo ExtensionTotal.
