Agentes de ameaças continuam a subir pacotes maliciosos para o registro npm com o objetivo de adulterar versões locais já instaladas de bibliotecas legítimas e executar código malicioso, o que é visto como uma tentativa mais disfarçada de realizar um ataque à cadeia de suprimentos de software.
O pacote recém-descoberto, chamado pdf-to-office, se disfarça como uma utilidade para converter arquivos PDF em documentos do Microsoft Word.
Mas, na realidade, ele possui recursos para injetar código malicioso em softwares de carteira de criptomoedas associados ao Atomic Wallet e Exodus.
"Efetivamente, uma vítima que tentasse enviar fundos de cripto para outra carteira de cripto teria o endereço de destino da carteira pretendido trocado por um pertencente ao ator malicioso", disse a pesquisadora da ReversingLabs, Lucija Valentić, em um relatório compartilhado com a imprensa.
O pacote npm em questão foi publicado pela primeira vez em 24 de março de 2025 e recebeu três atualizações desde então, mas não antes das versões anteriores terem sido provavelmente removidas pelos próprios autores.
A última versão, 1.1.2, foi carregada em 8 de abril e permanece disponível para download.
O pacote foi baixado 334 vezes até o momento.
A divulgação ocorre poucas semanas depois que a empresa de segurança de cadeia de suprimentos de software revelou dois pacotes npm chamados ethers-provider2 e ethers-providerz que foram projetados para infectar pacotes instalados localmente e estabelecer um reverse shell para se conectar ao servidor do ator de ameaça via SSH.
O que torna essa abordagem uma opção atraente para os agentes de ameaças é que ela permite que o malware persista nos sistemas dos desenvolvedores mesmo depois que o pacote malicioso é removido.
Uma análise do pdf-to-office revelou que o código malicioso embutido no pacote verifica a presença do arquivo "atomic/resources/app.asar" dentro da pasta "AppData/Local/Programs" para determinar se o Atomic Wallet está instalado no computador Windows e, se estiver, introduzir a funcionalidade de clipper.
"Se o arquivo estivesse presente, o código malicioso sobrescreveria um de seus arquivos com uma nova versão trojanizada que tinha a mesma funcionalidade que o arquivo legítimo, mas trocava o endereço de saída de cripto onde os fundos seriam enviados pelo endereço de uma carteira Web3 codificada em Base64 pertencente ao ator de ameaça", disse Valentić.
De maneira similar, o payload também é projetado para trojanizar o arquivo "src/app/ui/index.js" associado à carteira Exodus.
Mas, em uma virada interessante, os ataques são direcionados a duas versões específicas de ambos, Atomic Wallet (2.91.5 e 2.90.6) e Exodus (25.13.3 e 25.9.2), de modo a garantir que os arquivos JavaScript corretos sejam sobrescritos.
"Se, por acaso, o pacote pdf-to-office fosse removido do computador, o software das carteiras Web3 permaneceria comprometido e continuaria a canalizar fundos de cripto para a carteira dos atacantes", disse Valentić.
A única maneira de remover completamente os arquivos trojanizados maliciosos do software das carteiras Web3 seria removê-los completamente do computador e reinstalá-los.
A divulgação ocorre enquanto a ExtensionTotal detalhou 10 extensões maliciosas do Visual Studio Code que fazem o download furtivo de um script do PowerShell que desativa a segurança do Windows, estabelece persistência por meio de tarefas agendadas e instala um minerador de criptomoedas XMRig.
As extensões foram instaladas coletivamente mais de um milhão de vezes antes de serem retiradas.
Os nomes das extensões estão abaixo:
- Prettier — Code for VSCode (por prettier)
- Discord Rich Presence for VS Code (por Mark H)
- Rojo — Roblox Studio Sync (por evaera)
- Solidity Compiler (por Desenvolvedor do VSCode)
- Claude AI (por Mark H)
- Golang Compiler (por Mark H)
- ChatGPT Agent for VSCode (por Mark H)
- HTML Obfuscator (por Mark H)
- Python Obfuscator for VSCode (por Mark H)
- Rust Compiler for VSCode (por Mark H)
"Os atacantes criaram um ataque multi-estágio sofisticado, até mesmo instalando as extensões legítimas que eles estavam se passando para evitar suspeitas enquanto mineravam criptomoeda em segundo plano", disse a ExtensionTotal.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...