Злоумышленники запустили новую волну кибератак, нацеленных на криптодержателей, в особенности на пользователей кошельков Atomic и Exodus через вредоносные программные пакеты, загруженные на платформы кодирования.
Исследователи безопасности предупреждают, что вирус, встроенный в такие распространенные npm пакеты как pdf-to-office, запрограммирован на сбор приватных ключей путем манипуляции локальными файлами кошелька.
Согласно анализу ReversingLabs, вредоносный код маскируется под легальное программное обеспечение, но после установки он тайно изменяет пользовательский интерфейс кошельков Atomic и Exodus. Эти манипуляции обманывают пользователей, заставляя их отправлять средства на адреса, контролируемые злоумышленниками, эффективно перенаправляя транзакции без обнаружения.
Этот вид атак на цепочку поставок программного обеспечения подчеркивает все более опасную тенденцию в криптопространстве, где хакеры проникают в среды разработки для осуществления эксплойтов на уровне инфраструктуры.
Масштаб таких атак продолжает расти. Только в первом квартале 2025 года, по оценкам компании Hacken, кибератаки и эксплойты, связанные с крипто, привели к потерям свыше $2 миллиардов. Удивительные $1.4 миллиарда из этой суммы относятся к хакерской атаке на Bybit в феврале — в настоящее время самой крупной в истории криптовалюты.
После инцидента, SafeWallet — поставщик кошельков, вовлеченный в нарушение, — поделился подробным отчетом в марте 2025 года. Следователи выявили, что хакеры скомпрометировали компьютер разработчика и захватили сеансовые токены AWS для проникновения во внутренние системы SafeWallet и организации кражи Bybit.
Тем временем, другой обманный трюк, набирающий популярность, — это мошенничество с «подменой адреса». Главный специалист по безопасности Casa и известный киберпанк Джеймсон Лопп недавно выразил обеспокоенность по поводу этой тонкой, но эффективной уязвимости.
В этих атаках мошенники создают адреса кошельков, которые визуально напоминают те, что находятся в истории транзакций жертвы — обычно подражая первым и последним нескольким символам. Маленькая транзакция затем отправляется жертве для внедрения поддельного адреса в ее историю. Если пользователь случайно повторно использует этот адрес, его средства перенаправляются злоумышленнику.
Компания по кибербезопасности Cyvers, мониторящая угрозы в блокчейне, сообщила, что только за март 2025 года мошенничество с подменой адресов привело к краже более $1.2 миллиона в криптовалюте.
Поскольку злоумышленники совершенствуют свои методы, от манипуляций с инструментами разработки до эксплуатации пользовательских привычек, профессионалы в области кибербезопасности призывают к повышенной настороженности на всех уровнях криптоэкосистемы.