Aktorzy zagrożeń uruchomili nową falę cyberataków wymierzoną w posiadaczy kryptowalut, specjalnie celując w użytkowników portfeli Atomic i Exodus poprzez złośliwe pakiety oprogramowania wrzucane na platformy kodowania.
Badacze bezpieczeństwa ostrzegają, że malware, osadzone w powszechnie używanych pakietach npm jak pdf-to-office, ma na celu przechwytywanie kluczy prywatnych poprzez manipulację lokalnymi plikami portfeli.
Według analizy ReversingLabs, złośliwe oprogramowanie udaje legalne oprogramowanie, ale po zainstalowaniu potajemnie modyfikuje interfejs użytkownika portfeli Atomic i Exodus. Ta manipulacja oszukuje użytkowników do wysyłania środków na adresy kontrolowane przez atakujących, skutecznie przekierowując transakcje bez wykrycia.
Tego rodzaju atak na łańcuch dostaw oprogramowania podkreśla coraz bardziej niebezpieczny trend w przestrzeni kryptowalut, w którym hakerzy infiltrują środowiska deweloperskie, aby przeprowadzać eksploity na poziomie infrastruktury.
Skala takich ataków nadal rośnie. Tylko w pierwszym kwartale 2025 roku firma cybersecurity Hacken szacuje, że hacks i eksploity związane z kryptowalutami spowodowały straty przekraczające 2 miliardy dolarów. Z tej sumy aż 1,4 miliarda dolarów pochodziło z kradzieży Bybit w lutym - obecnie największej w historii kryptowalut.
Po incydencie, SafeWallet - dostawca portfela zamieszanego w naruszenie - podzielił się szczegółowym raportem po fakcie w marcu 2025 roku. Śledczy ujawnili, że hakerzy skompromitowali komputer dewelopera i przejęli tokeny sesji AWS, aby przeniknąć do wewnętrznych systemów SafeWallet i zorganizować kradzież Bybit.
Tymczasem, inną zwodniczą taktyką zyskującą popularność jest oszustwo „zatruwanie adresu”. Szef bezpieczeństwa Casa i znany cypherpunk Jameson Lopp niedawno podniósł obawy dotyczące tego subtelnego a jednocześnie skutecznego eksploitu.
W tych atakach oszuści generują adresy portfeli, które wizualnie przypominają te w historii transakcji ofiary - zazwyczaj naśladując pierwsze i ostatnie kilka znaków. Następnie mała transakcja jest wysyłana do ofiary, aby wstawić fałszywy adres do jej historii. Jeśli użytkownik nieświadomie ponownie użyje tego adresu, jego środki są przekierowywane do atakującego.
Cyvers, firma zajmująca się monitorowaniem zagrożeń w blockchainie, donosi, że samo zatruwanie adresu doprowadziło do kradzieży kryptowalut o wartości ponad 1,2 miliona dolarów w marcu 2025 roku.
W miarę jak aktorzy zagrożeń rozwijają swoje metody, od manipulacji narzędziami deweloperskimi po eksploatację zwyczajów użytkowników, profesjonaliści zajmujący się bezpieczeństwem wzywają do zwiększenia czujności na wszystkich froncie ekosystemu kryptowalut.