Cyber​​security researchers have shared details of a malware campaign targeting Ethereum, XRP, and Solana.

The attack mainly targets Atomic and Exodus wallet users through compromised node package manager (NPM) packages.

It then redirects transactions to attacker-controlled addresses without the wallet owner’s knowledge.

The attack begins when開發人員在其項目中不知不覺地安裝了Trojanized NPM軟件包。研究人員將“ PDF-To-To-Office”確定為合法的折衷軟件包，但包含隱藏的惡意代碼。

一旦安裝，包裝將掃描系統中的安裝加密貨幣錢包，並註入攔截交易的惡意代碼。

“這項最新的廣告系列代表了通過軟件供應鏈攻擊對加密貨幣用戶進行的持續定位，”報告中的報告中指出。

The malware can redirect transactions across multiple cryptocurrencies, including Ethereum (ETH), Tron-based USDT, XRP (XRP), and Solana (SOL).

ReversingLabs identified the campaign through their analysis of suspicious npm packages and detected multiple indicators of malicious behavior including suspicious URL connections and code patterns matching previously identified threats.他們的技術檢查顯示了一項多階段攻擊，該攻擊使用先進的混淆技術來逃避檢測。

當惡意軟件包執行安裝在系統上的惡意軟件包執行其有效載荷定位錢包軟件時，感染過程開始。該代碼專門搜索某些路徑中的應用程序文件。

，惡意軟件會提取應用程序檔案。此過程是通過創建臨時目錄，提取應用程序文件，注入惡意代碼的代碼執行的，然後將所有內容重新包裝以顯示正常狀態。

惡意軟件修改了交易處理代碼，以替換合法的錢包地址將合法的錢包地址替換為攻擊者控制的代碼。

例如，當用戶嘗試發送ETH時，代碼將接收者地址替換從基本64字符串解碼的攻擊者的地址。

該惡意軟件的影響可能是悲慘的，因為交易在錢包界面中似乎正常，而資金則向攻擊者發送給攻擊者。

用戶沒有視覺指示他們的交易已被妥協，直到他們驗證區塊鏈交易並發現資金進入UNExpected地址。