-
09/04/2020
-
94
-
746 bài viết
Gói npm độc hại giả mạo công cụ chuyển đổi PDF nhắm vào Atomic Wallet và Exodus
Các chuyên gia an ninh mạng mới đây đã phát hiện một gói npm độc hại mang tên pdf-to-office, được ngụy trang dưới dạng tiện ích chuyển đổi tập tin PDF sang tài liệu Microsoft Word. Tuy nhiên, thay vì hỗ trợ người dùng, gói này lại chứa mã độc nhằm can thiệp vào phần mềm ví tiền mã hóa như Atomic Wallet và Exodus để thực hiện thay thế địa chỉ ví trong các giao dịch tiền số.
Theo báo cáo, gói npm pdf-to-office được phát hành lần đầu vào ngày 24/3/2025 và đã nhận được 3 bản cập nhật, trong đó phiên bản mới nhất (1.1.2) được tải lên vào ngày 8/4 và vẫn có sẵn để tải xuống. Gói này đã được tải về 334 lần, làm dấy lên lo ngại về một đợt tấn công chuỗi cung ứng phần mềm tinh vi và khó phát hiện.
Mã độc trong pdf-to-office được tạo để kiểm tra sự tồn tại của tập tin "atomic/resources/app.asar" trên hệ thống Windows, nhằm xác định sự hiện diện của Atomic Wallet. Nếu có, nó sẽ tiến hành ghi đè tập tin này bằng một phiên bản bị trojan hóa với mã độc thay thế địa chỉ ví đích của giao dịch bằng địa chỉ ví Web3 do kẻ tấn công kiểm soát. Địa chỉ này được mã hóa bằng Base64 để tránh bị phát hiện.
Không chỉ nhắm vào Atomic Wallet, mã độc còn được lập trình để can thiệp vào Exodus Wallet, cụ thể là tập tin "src/app/ui/index.js". Tuy nhiên, các cuộc tấn công chỉ ảnh hưởng đến một số phiên bản nhất định, gồm Atomic Wallet 2.91.5 và 2.90.6 cùng với Exodus 25.13.3 và 25.9.2. Điều này cho thấy sự tính toán kỹ lưỡng nhằm đảm bảo các tập tin JavaScript đúng đích bị ghi đè một cách chính xác.
Nguy hiểm hơn, ngay cả khi người dùng đã gỡ bỏ gói npm độc hại khỏi máy tính, các tập tin ví đã bị trojan hóa vẫn tiếp tục tồn tại và chuyển tiền đến ví của tin tặc. Giải pháp duy nhất để loại bỏ hoàn toàn mã độc là gỡ cài đặt toàn bộ phần mềm ví và cài đặt lại từ nguồn chính thống.
Phát hiện trên được công bố không lâu sau khi hai gói npm độc hại khác là ethers-provider2 và ethers-providerz bị phát giác với hành vi lây nhiễm vào thư viện cục bộ và thiết lập reverse shell kết nối với máy chủ của tin tặc thông qua SSH. Chiến thuật này giúp mã độc duy trì tồn tại trên hệ thống của lập trình viên ngay cả sau khi gói độc hại bị gỡ bỏ.
Đồng thời, nhóm nghiên cứu cũng đã phát hiện 10 tiện ích mở rộng Visual Studio Code độc hại với tổng số lượt cài đặt lên đến hơn 1 triệu. Các tiện ích này âm thầm tải về một tập lệnh PowerShell nhằm vô hiệu hóa bảo mật Windows, thiết lập các tác vụ theo lịch và cài đặt phần mềm đào tiền mã hóa XMRig. Trong số đó, nhiều tiện ích giả danh các công cụ nổi tiếng để tránh bị nghi ngờ, bao gồm:
Người dùng tuyệt đối không nên cài đặt các gói npm không rõ nguồn gốc hoặc chưa được xác thực, đặc biệt trong quá trình phát triển hoặc vận hành các hệ thống liên quan đến tài sản số. Việc sử dụng các thư viện không đáng tin cậy có thể tạo điều kiện cho mã độc xâm nhập và chiếm quyền kiểm soát ví tiền mã hóa.
Trong trường hợp hệ thống đang sử dụng Atomic Wallet phiên bản 2.91.5 hoặc 2.90.6, hoặc Exodus phiên bản 25.13.3 hoặc 25.9.2, người dùng được khuyến nghị gỡ bỏ hoàn toàn phần mềm ví khỏi thiết bị, sau đó tải lại và cài đặt từ nguồn chính thức để đảm bảo loại bỏ triệt để mọi thành phần độc hại có thể đã bị chèn vào.
Việc cài đặt lại sạch từ đầu là biện pháp duy nhất để đảm bảo môi trường ví được khôi phục toàn vẹn và an toàn tuyệt đối.
Theo báo cáo, gói npm pdf-to-office được phát hành lần đầu vào ngày 24/3/2025 và đã nhận được 3 bản cập nhật, trong đó phiên bản mới nhất (1.1.2) được tải lên vào ngày 8/4 và vẫn có sẵn để tải xuống. Gói này đã được tải về 334 lần, làm dấy lên lo ngại về một đợt tấn công chuỗi cung ứng phần mềm tinh vi và khó phát hiện.
Mã độc trong pdf-to-office được tạo để kiểm tra sự tồn tại của tập tin "atomic/resources/app.asar" trên hệ thống Windows, nhằm xác định sự hiện diện của Atomic Wallet. Nếu có, nó sẽ tiến hành ghi đè tập tin này bằng một phiên bản bị trojan hóa với mã độc thay thế địa chỉ ví đích của giao dịch bằng địa chỉ ví Web3 do kẻ tấn công kiểm soát. Địa chỉ này được mã hóa bằng Base64 để tránh bị phát hiện.
Không chỉ nhắm vào Atomic Wallet, mã độc còn được lập trình để can thiệp vào Exodus Wallet, cụ thể là tập tin "src/app/ui/index.js". Tuy nhiên, các cuộc tấn công chỉ ảnh hưởng đến một số phiên bản nhất định, gồm Atomic Wallet 2.91.5 và 2.90.6 cùng với Exodus 25.13.3 và 25.9.2. Điều này cho thấy sự tính toán kỹ lưỡng nhằm đảm bảo các tập tin JavaScript đúng đích bị ghi đè một cách chính xác.
Nguy hiểm hơn, ngay cả khi người dùng đã gỡ bỏ gói npm độc hại khỏi máy tính, các tập tin ví đã bị trojan hóa vẫn tiếp tục tồn tại và chuyển tiền đến ví của tin tặc. Giải pháp duy nhất để loại bỏ hoàn toàn mã độc là gỡ cài đặt toàn bộ phần mềm ví và cài đặt lại từ nguồn chính thống.
Phát hiện trên được công bố không lâu sau khi hai gói npm độc hại khác là ethers-provider2 và ethers-providerz bị phát giác với hành vi lây nhiễm vào thư viện cục bộ và thiết lập reverse shell kết nối với máy chủ của tin tặc thông qua SSH. Chiến thuật này giúp mã độc duy trì tồn tại trên hệ thống của lập trình viên ngay cả sau khi gói độc hại bị gỡ bỏ.
Đồng thời, nhóm nghiên cứu cũng đã phát hiện 10 tiện ích mở rộng Visual Studio Code độc hại với tổng số lượt cài đặt lên đến hơn 1 triệu. Các tiện ích này âm thầm tải về một tập lệnh PowerShell nhằm vô hiệu hóa bảo mật Windows, thiết lập các tác vụ theo lịch và cài đặt phần mềm đào tiền mã hóa XMRig. Trong số đó, nhiều tiện ích giả danh các công cụ nổi tiếng để tránh bị nghi ngờ, bao gồm:
- Prettier - Code for VSCode
- Discord Rich Presence for VS Code
- Rojo - Roblox Studio Sync
- Solidity Compiler
- Claude AI
- Golang Compiler
- ChatGPT Agent for VSCode
- HTML Obfuscator
- Python Obfuscator for VSCode
- Rust Compiler for VSCode
Người dùng tuyệt đối không nên cài đặt các gói npm không rõ nguồn gốc hoặc chưa được xác thực, đặc biệt trong quá trình phát triển hoặc vận hành các hệ thống liên quan đến tài sản số. Việc sử dụng các thư viện không đáng tin cậy có thể tạo điều kiện cho mã độc xâm nhập và chiếm quyền kiểm soát ví tiền mã hóa.
Trong trường hợp hệ thống đang sử dụng Atomic Wallet phiên bản 2.91.5 hoặc 2.90.6, hoặc Exodus phiên bản 25.13.3 hoặc 25.9.2, người dùng được khuyến nghị gỡ bỏ hoàn toàn phần mềm ví khỏi thiết bị, sau đó tải lại và cài đặt từ nguồn chính thức để đảm bảo loại bỏ triệt để mọi thành phần độc hại có thể đã bị chèn vào.
Việc cài đặt lại sạch từ đầu là biện pháp duy nhất để đảm bảo môi trường ví được khôi phục toàn vẹn và an toàn tuyệt đối.
Theo The Hacker News