Злонамерени NPMnпакети са насочени към потребителите на криптовалута и PayPal

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

3аплахи публикуват зловредни пакети NPM, за да откраднат информацията и средствата на потребителите на PayPal и портфейлите за криптовалути.

Fortinet откри, че потребителите на PayPal са били обект на множество пакети за кражба на информация, които вероятно са били създадени в началото на март от участник в заплаха, известен като tommyboy_h1 и tommyboy_h2.

Пакетите са използвали теми, свързани с PayPal, като oauth2-paypal и buttonfactoryserv-paypal, за да подмамят разработчиците да ги инсталират. За да се избегне откриването, в зловредните пакети се използва кука за предварително инсталиране.

Куката осигурява автоматично изпълнение на зловреден скрипт преди инсталирането на пакета, за да се съберат системни данни и чувствителна информация, като потребителски имена и пароли, и да се изпратят на отдалечен сървър чрез динамично генериран URL адрес.

„За да откриете компромат, търсете необичайни NPM пакети с имена като „paypal“. Други признаци включват неочаквани мрежови връзки към непознати сървъри, така че проверете и мрежовите си логове за всякаква подозрителна активност“, отбелязва Fortinet.

Потребителите на приложенията за портфейли за криптовалути Atomic Wallet и Exodus, предупреждава ReversingLabs, са били обект на зловреден NPM пакет, предназначен да прихваща преводите на средства и да ги пренасочва към криптоадреси, контролирани от заплахата.

Наречен pdf-to-office и публикуван през март, пакетът се представя за библиотека, която поддържа конвертирането на PDF файлове в документи от Microsoft Office. При изпълнение обаче пакетът презаписва локалните файлове, използвани от Atomic Wallet и Exodus, със злонамерени версии, които съдържат легитимната функционалност на оригинала, но заменят изходящите криптоадреси с криптоадреса на нападателя.

Злонамереният код е видян да изпраща и ZIP архив към отдалечен сървър, което предполага, че може да събира и чувствителна информация от заразена система.

ReversingLabs също така предупреждава, че засегнатите потребители ще трябва напълно да премахнат компрометираните приложения за портфейли и да ги инсталират отново. В противен случай, дори и зловредният NPM пакет да бъде премахнат, портфейлите ще продължат да изпращат средства на адреса на нападателя.

#бъгове, # крипто
По материали от Интернет

Подобни

Supply-chain атака компрометира AppsFlyer Web SDK
16.03.2026
0427_cyberattack
ФБР разследва зловредни Steam игри
16.03.2026
FBI__headpic
Storm-2561 разпространява фалшиви VPN клиенти за кражба на данни
15.03.2026
stefancoders-vpn-shield-4634563_640
Кибератака с wiper малуер срещу Stryker
13.03.2026
181213-iran-hacking
Нова кампания със зловреден софтуер преди наградите Оскар
13.03.2026
pirate-flag-7541041_640
Глобална кампания компрометира WordPress сайтове
13.03.2026
wordpress

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.