به گزارش کارگروه فناوری اطلاعات سایبربان ، این حمله با بهرهگیری از پکیجهای آلوده در پلتفرم npm، بهویژه پکیجی با نام pdf-to-office، به سیستم کاربران نفوذ کرده و ارزهایی نظیر اتریوم، ریپل و سولانا را سرقت میکند.
طبق یافتههای کارشناسان، بدافزار مذکور پس از نصب پکیج آلوده، شروع به جستوجوی کیفپولهای نصبشده روی دستگاه میکند. در ادامه، با تغییر فایلهای داخلی این برنامهها، کدی را تزریق میکند که موجب هدایت تراکنشها به آدرسهای تحت کنترل مهاجمان میشود؛ بدون آنکه کاربر متوجه شود. تراکنشها در ظاهر بهدرستی انجام میشوند، اما در واقع وجوه به حساب هکرها منتقل شدهاند. این بدافزار حتی پس از حذف پکیج نیز ممکن است فعال باقی بماند و تنها با حذف کامل و نصب مجدد کیفپول قابل پاکسازی است.
ویژگی متمایز این حمله، بهرهگیری از مدل زنجیره تأمین نرمافزار است. در این نوع حملات، مهاجمان بهجای نفوذ مستقیم به سیستم کاربر، به ابزارهای مورد اعتماد مانند پکیجهای npm نفوذ میکنند. توسعهدهندگان و کاربران عادی که به این پلتفرمها اطمینان دارند، به سادگی قربانی میشوند. این الگو پیشتر نیز در ماجرای آلودگی کتابخانه Solana web۳.js مشاهده شده و از رشد نگرانکننده حملات مشابه حکایت دارد.
پژوهشگران هشدار میدهند که حملات به ابزارهای کیفپول دیجیتال ممکن است اعتماد کاربران به ارزهای دیجیتال را تحتالشعاع قرار دهد. زیرا این کیفپولها، با وجود شهرت بالا، نیز میتوانند در برابر تهدیدات سایبری آسیبپذیر باشند. در نتیجه، کاربران باید مراقب منابعی که از آنها نرمافزار دریافت میکنند باشند و علائم مشکوک مانند تغییر مقصد تراکنشها یا تاخیر در پردازش را جدی بگیرند.
کارشناسان توصیه میکنند کاربران برای کاهش خطر، از کیفپولهای سختافزاری برای ذخیره داراییهای مهم استفاده کنند، از نصب پکیجهای مشکوک خودداری کرده و همیشه نرمافزارهای خود را بهروز نگه دارند. همچنین، بررسی دقیق آدرس مقصد پیش از تأیید نهایی تراکنشها میتواند از خسارات بیشتر جلوگیری کند.
