网络安全研究人员曝光了针对以太坊、瑞波币 (XRP) 和 Solana 加密货币持有者的恶意软件攻击活动。该威胁利用开发人员安装的受感染软件包，攻击 Atomic 和 Exodus 钱包持有者，而这些开发人员并未意识到代码中包含恶意软件。

该恶意软件在执行后，能够将加密货币发送到窃贼持有的地址，而无需透露钱包所有者的身份。

攻击如何进行

研究人员表示，当开发人员无意中将遭到黑客入侵的节点包管理器 (NPM) 软件包添加到项目中时，攻击就开始了。一个名为“pdf-to-office”的软件包表面上看似真实，但实际上却隐藏着恶意代码。

该软件包会在计算机上搜索已安装的加密钱包，然后注入拦截交易的代码。这使得犯罪分子能够在用户不知情或未经许可的情况下窃取资金。

多种加密货币面临风险

安全研究人员得出结论，该恶意软件可以转移多种全球主要加密货币的交易，包括以太坊、USDT、XRP和 Solana。研究人员认为，此次攻击是“通过软件供应链攻击持续针对加密货币用户的升级”。

技术细节揭示复杂方法

ReversingLabs 通过扫描可疑的 NPM 包发现了该攻击活动。他们的分析发现了一些警示信号，例如可疑的 URL 关联以及与已知威胁匹配的代码结构。

此次攻击采用了复杂的技术来规避安全工具，并且本质上是多阶段的。当恶意软件包在目标设备上执行针对钱包软件的代码时，感染就开始了。它会在注入恶意代码之前，专门在某些预定路径中查找应用程序文件。

没有视觉用户警告标志

据报道，由于钱包界面上的交易看起来完全正常，该恶意软件的后果可能是灾难性的。该代码通过Base64编码将有效的收件人地址替换为攻击者控制的地址。

例如，当用户尝试发送 ETH 时，恶意软件会将收款人地址替换为攻击者的地址，该地址以加密形式隐藏。用户根本无法察觉到任何异常，直到事后检查区块链记录，才发现自己的资金流向了一个意想不到的地址。

这一安全威胁意味着加密货币持有者面临的损害日益严重，他们可能直到资金丢失才意识到自己的交易已被盗。此次攻击的作案手法表明，黑客不断推出新的窃取数字资产的方法。

加密货币用户在验证所有交易地址时应格外谨慎。此外，建议开发人员仔细检查他们在加密货币相关项目上安装的任何软件包的安全性。