影响加密货币用户的新特洛伊木马警报！请勿下载名为此的文件！

面对针对加密货币社区的越来越多的网络攻击浪潮，威胁行为者推出了一个复杂的软件供应链，旨在破坏广泛使用的 Web3 钱包，包括 Atomic Wallet 和 Exodus。

ReversingLabs (RL) 研究人员表示，恶意攻击活动的中心是一个流行的平台，专为 JavaScript 和 Node.js 开发者提供的 npm 包管理器。攻击者正在下载一个被错误地宣传为将 PDF 文件转换为 Microsoft Office 格式的辅助工具的欺诈性包，名为 pdf-to-office。相反，这个包携带了旨在劫持合法加密货币钱包软件本地安装的恶意代码。

Pdf-to-office 套件运行后，会悄悄地向 Atomic Wallet 和 Exodus 的本地安装版本注入恶意补丁。这些补丁将合法代码替换为修改过的版本，使攻击者能够阻止和重定向加密货币交易。在应用程序中，试图发送资金的用户发现，他们的交易被重定向到由攻击者控制的钱包，并且没有任何明显的干预迹象。

攻击利用了一种越来越流行的技术：恶意人士现在不再直接控制上游的开源软件包，而是通过对受害者系统中已安装的合法软件进行补丁，来将恶意代码植入本地环境。

pdf-to-office套件首次出现在2025年3月的npm上，并连续发布了多个版本。最新版本1.1.2于4月1日发布。RL研究人员利用Spectra Assure平台上的机器学习驱动行为分析检测到该套件。代码中发现包含隐藏的JavaScript，这是最近npm恶意软件活动中的一个常见红旗。

恶意软件包被删除后，其影响仍然存在，这引人注目。Web3钱包在被修补后，仅仅删除伪造的npm包并没有消除危险。受害者需要完全卸载并重新安装钱包应用程序，以去除木马组件并恢复钱包的完整性。