Исследователи компании ReversingLabs обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяли npm-пакет pdf-to-office, маскируя его под инструмент для конвертации PDF в документы Microsoft Office. На деле пакет встраивал трояны в локально установленные версии популярных криптокошельков Atomic Wallet и Exodus, подменяя адреса для перевода криптовалюты на те, что принадлежат атакующим.
По данным специалистов, вредоносный код определял установленную версию кошелька и заменял конкретные файлы в его директориях. При этом пользователи не подозревали о вмешательстве — кошельки продолжали работать в обычном режиме, однако при отправке средств адрес получателя незаметно изменялся.
Также была зафиксирована активность по сбору дополнительных данных: вредоносный скрипт архивировал файлы из директории AnyDesk и отправлял их на внешний сервер, что может указывать на попытку замести следы или подготовку к более масштабной атаке.
Особую опасность представляет тот факт, что даже после удаления вредоносного пакета заражённые файлы в кошельках продолжают функционировать. Единственный способ избавиться от троянов — полная переустановка программ.
Эксперты ReversingLabs подчёркивают, что официальные установочные файлы Atomic Wallet и Exodus, размещённые на сайтах разработчиков, не затронуты данной атакой. Однако инцидент вновь демонстрирует растущие риски в сфере программных цепочек поставок, особенно в криптовалютной отрасли, которая остаётся приоритетной целью киберпреступников.
