Socket 威胁研究团队发现了两个旨在窃取加密货币凭证和交易数据的恶意 npm 软件包——pumptoolforvolumeandcomment 及其包装器 debugdogs。这两个软件包均由一名使用别名 olumideyo 的威胁行为者发布,并通过 Telegram 机器人实时窃取数据。
Socket警告说:“ pumptoolforvolumeandcomment 中的加载程序会解码混淆的有效载荷,该载荷会搜索 Base58 编码的加密货币密钥、钱包文件和“BullX”交易数据……然后通过 Telegram 机器人窃取敏感数据。”
此次攻击的重点是 BullX,这是一个深受加密货币交易者欢迎的平台,用于快速获取新发行的加密货币。Socket 研究人员证实,该恶意软件会明确扫描与“BullX”相关的文件,并收集所有与该字符串匹配且以 .txt 结尾的文件。
pumptoolforvolumeandcomment 的主程序中隐藏着一个经过 base64 混淆的脚本,该脚本隐藏在 parts.txt 文件中。一旦被 index.js 加载器解码并执行,该脚本就会开始在 Linux 和 macOS 文件系统中积极搜索凭证,并使用与 Base58 编码字符串匹配的正则表达式(这种格式在钱包种子短语和私钥中很常见)。
主要行动包括:
- 扫描~/Documents、/Volumes、/media 中的敏感文件
- 在 .txt、.env、.log、.ini、.cfg 和 .docs 文件中搜索字符串
- 将所有发现组合成结构化的 JSON 文件(fss.json)
- 使用攻击者的令牌和聊天 ID 通过 Telegram 机器人发送被盗数据
被盗数据通过 Telegram Bot API 传输,使攻击者能够即时获取凭证并跨境匿名操作。这种实时数据泄露模型兼具速度和隐蔽性,是攻击高价值加密钱包的理想选择。
为了扩大影响范围,攻击者还发布了 debugdogs,这是一个包装包,其功能仅限于需要和执行 pumptoolforvolumeandcomment。
Socket 指出:“通过直接指向 pumptoolforvolumeandcomment,作者确保任何安装 debugdogs 的人都会自动拉入并执行真正的有效载荷。 ”
这种“npm 包装器”技术越来越普遍,旨在逃避安全工具和毫无戒心的开发人员的检测。
Socket 总结道:“此次攻击凸显了对加密货币和交易相关环境中的 npm 包进行更好审查的迫切需要。”
发表评论
您还未登录,请先登录。
登录