恶意npm包仿冒Nodemailer劫持加密货币

网络安全研究人员发现一个恶意npm软件包，该包通过隐蔽功能向Windows系统上的Atomic和Exodus等加密货币钱包桌面应用注入恶意代码。

这个名为nodejs-smtp的软件包仿冒了合法的电子邮件库nodemailer，不仅使用了完全相同的标语、页面样式和README描述，还自2025年4月由用户”nikotimon”上传至npm注册库以来，累计获得了347次下载。该软件包目前已下架。

“在导入时，该包会利用Electron工具链解压Atomic Wallet的app.asar文件，用恶意载荷替换供应商捆绑包，重新打包应用程序，并通过删除工作目录来清除痕迹，”Socket研究员Kirill Boychenko表示。

该恶意包的主要目的是将收款地址覆盖为攻击者控制的硬编码钱包地址，从而劫持比特币（BTC）、以太坊（ETH）、泰达币（USDT及TRX USDT）、瑞波币（XRP）和Solana（SOL）交易，本质上扮演了加密货币剪切器的角色。

需要说明的是，该软件包仍保留了作为SMTP邮件发送器的宣称功能，以此降低开发者的怀疑。

该包不仅仍具备邮件发送功能，还提供了与nodemailer兼容的替代接口。这种功能性伪装既降低了怀疑度，也能让应用程序测试通过，使得开发者几乎没有理由质疑这个依赖项。

此次事件发生的数月前，ReversingLabs曾发现名为”pdf-to-office”的npm包通过解压Atomic和Exodus钱包的”app.asar”压缩包，修改其中的JavaScript文件以植入剪切器功能，实现了相同目标。

“这场攻击活动表明，开发工作站上一次常规的导入操作，就能悄无声息地修改另一个桌面应用程序并实现重启后持久化，”Boychenko强调。”通过滥用导入时执行机制和Electron打包特性，一个看似普通的邮件发送库就变成了能在受感染Windows系统上篡改Atomic和Exodus钱包的资产窃取工具。”