Хотел «.doc», отдал «биток»: новый зловредный пакет штурмует npm

Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет под названием «pdf-to-office», обнаруженный исследователями Reversing Labs, и якобы предназначенный для конвертации PDF-документов в Word. На деле он был создан с единственной целью — подмены криптокошельков у пользователей Atomic Wallet и Exodus.

Опубликованный 24 марта 2025 года пакет уже трижды обновлялся. Последняя версия 1.1.2 появилась 8 апреля и до сих пор доступна для скачивания. Всего его загрузили 334 раза. При установке он проверяет наличие файлового архива «app.asar» в директории Atomic Wallet, а затем встраивает вредоносный код прямо в программные компоненты кошелька.

Особенность атаки в том, что если вредоносный код находит нужную версию Atomic Wallet (2.91.5 или 2.90.6), он заменяет один из файлов архива на подменённый — с теми же функциями, но уже с подставным адресом криптокошелька, закодированным в Base64. Таким образом, при попытке отправки криптовалюты адрес получателя меняется на кошелёк злоумышленника.

То же самое происходит и с Exodus, но атака нацелена только на версии 25.13.3 и 25.9.2. Вредоносный код заменяет файл «index.js» в пользовательском интерфейсе кошелька, после чего программа начинает переводить средства на подконтрольный атакующим счёт.

Удаление пакета из системы не устраняет угрозу. Изменённые файлы остаются в криптокошельках и продолжают работать, даже если заражённый npm-пакет был удалён. Единственный способ устранить последствия — полное удаление программы и установка с нуля из проверенного источника.

Публикация этой информации стала продолжением серии разоблачений в области компрометации инструментов разработчиков. Ранее были выявлены вредоносные npm-пакеты ethers-provider2 и ethers-providerz, заражавшие локальные библиотеки и открывавшие удалённый доступ через SSH.

Дополнительную угрозу представляют расширения для Visual Studio Code. Исследователи из ExtensionTotal выявили десять вредоносных расширений, которые скачивали PowerShell-скрипт, отключающий защиту Windows, создавали задания в планировщике для сохранения постоянства и запускали майнер XMRig. В числе этих дополнений оказались подделки под известные расширения, такие как Prettier, Solidity Compiler, ChatGPT Agent и другие.

Общая численность установок этих расширений превысила миллион до момента их удаления. Злоумышленники даже внедряли легитимные версии, чтобы не вызывать подозрений и незаметно майнить криптовалюту на фоне обычной работы пользователя.