Gli attori della minaccia hanno lanciato una nuova ondata di cyberattacchi mirati ai possessori di criptovalute, specificamente prendendo di mira gli utenti dei wallet Atomic ed Exodus tramite pacchetti software dannosi caricati su piattaforme di codifica.
I ricercatori di sicurezza avvertono che il malware, incorporato all'interno di pacchetti npm comunemente usati come pdf-to-office, è progettato per raccogliere chiavi private manipolando i file del wallet locale.
Secondo l'analisi di ReversingLabs, il codice dannoso si presenta come un software legittimo, ma una volta installato, modifica furtivamente l'interfaccia utente dei wallet Atomic ed Exodus. Questa manipolazione inganna gli utenti inviando fondi a indirizzi controllati dagli attaccanti, deviando efficacemente le transazioni senza essere rilevato.
Questo tipo di attacco alla supply chain del software evidenzia una tendenza sempre più pericolosa nel mondo della crittografia, in cui gli hacker infiltrano ambienti di sviluppo per compiere exploit a livello infrastrutturale.
La scala di tali attacchi continua a crescere. Nel primo trimestre del 2025, l'azienda di cybersecurity Hacken stima che gli hack e gli exploit legati alle crypto abbiano provocato perdite superiori a 2 miliardi di dollari. Un impressionante 1,4 miliardi di quella cifra proviene dall'hack Bybit di febbraio - attualmente il più grande nella storia delle criptovalute.
Dopo l'incidente, SafeWallet - un provider di wallet coinvolto nella violazione - ha condiviso un dettagliato postmortem a marzo 2025. Gli investigatori hanno rivelato che gli hacker hanno compromesso il computer di uno sviluppatore e dirottato i token di sessione AWS per infiltrarsi nei sistemi interni di SafeWallet e orchestrare il furto Bybit.
Nel frattempo, un'altra tattica ingannevole in crescita è la truffa dell'"avvelenamento degli indirizzi". Il responsabile della sicurezza di Casa e noto cypherpunk Jameson Lopp ha recentemente sollevato preoccupazioni su questo exploit sottile ma efficace.
In questi attacchi, i truffatori generano indirizzi wallet che assomigliano visivamente a quelli nella cronologia delle transazioni della vittima - tipicamente imitando i primi e gli ultimi caratteri. Viene poi inviata una piccola transazione alla vittima per impiantare l'indirizzo falso nella loro cronologia. Se l'utente riutilizza inconsapevolmente questo indirizzo, i loro fondi vengono indirizzati all'attaccante.
Cyvers, un'azienda di cybersecurity che monitora le minacce blockchain, ha riportato che solo l'avvelenamento degli indirizzi ha portato a oltre 1,2 milioni di dollari in crypto rubate durante il marzo 2025.
Con l'evolvere dei metodi degli attori della minaccia, dalla manipolazione degli strumenti di sviluppo allo sfruttamento delle abitudini degli utenti, i professionisti della sicurezza informatica chiedono una maggiore vigilanza su tutti i fronti dell'ecosistema crittografico.