“`persian
## شناسایی و هدف قرار دادن کیف پولهای رمزارزی توسط بستههای مخرب
پژوهشگران امنیتی یک بسته نرمافزاری مخرب را در مخزن npm شناسایی کردهاند که به طور مخفیانه نسخههای نصبشده کیف پولهای رمزارزی Atomic و Exodus را تغییر میدهد. هدف از این حمله، رهگیری و تغییر مسیر تراکنشهای ارز دیجیتال کاربران به آدرسهای کنترلشده توسط مهاجمان است.
این حمله با استفاده از یک بسته فریبنده به نام pdf-to-office صورت میگیرد که خود را به عنوان کتابخانهای برای تبدیل فایلهای PDF به فرمتهای آفیس معرفی میکند. اما در واقع، این بسته دارای قابلیتهای مخرب بوده و پس از اجرا، نسخههای خاصی از کیف پولهای Atomic و Exodus را در سیستم قربانی پیدا کرده و فایلهای اصلی برنامه را با نسخههای آلوده جایگزین میکند.
مهاجمان با جایگزینی فایلهای JavaScript معتبر در بایگانی resources/app.asar، آدرس گیرنده مورد نظر کاربر را با یک آدرس کیف پول رمزگذاری شده با base64 متعلق به مهاجم، جایگزین میکنند. در نتیجه، حتی پس از حذف بسته مخرب npm، کیف پولهای آلوده همچنان به تغییر مسیر وجوه ادامه میدهند و برای حذف کد مخرب، نیاز به حذف کامل و نصب مجدد نرمافزار کیف پول است.
این کمپین نشاندهنده تغییر تاکتیکی در حملات زنجیره تامین نرمافزاری است، به طوری که مهاجمان به جای سازش مستقیم با کتابخانههای متنباز، بستههایی را توزیع میکنند که طراحی شدهاند تا نصبهای محلی نرمافزارهای مورد اعتماد را با بدافزارهای مخفی “وصله” کنند. این کشف بر اهمیت افزایش دقت در ممیزی کد، مدیریت وابستگیها و نظارت بر تغییرات برنامه در زمان واقعی تأکید دارد.
توزیع این بسته مخرب میتواند منجر به افزایش نگرانیها در مورد امنیت کیف پولهای رمزارزی و کاهش اعتماد کاربران به اکوسیستم ارزهای دیجیتال شود.
“`
