Z pozoru nieszkodliwa biblioteka JavaScript, reklamowana jako przydatne narzędzie do konwersji dokumentów PDF do formatu Word, okazała się w rzeczywistości złośliwym oprogramowaniem ukierunkowanym na kradzież kryptowalut.
Eksperci ds. cyberbezpieczeństwa ostrzegają, że złośliwy pakiet „pdf-to-office”, dostępny w repozytorium npm, umożliwia cyberprzestępcom przechwytywanie transakcji kryptowalutowych i przekierowywanie ich do własnych portfeli. Za odkryciem stoi zespół badaczy z firmy ReversingLabs, a kluczową rolę w demaskowaniu ataku odegrała sztuczna inteligencja.
„Zamień PDF na Word... i przekaż kryptowalutę napastnikowi”
Wspomniany pakiet pdf-to-office, opublikowany w repozytorium npm 24 marca 2025 r., był już pobrany kilkaset razy zanim jego szkodliwa natura została wykryta. Złośliwe oprogramowanie działało w sprytny sposób – po zainstalowaniu, zamiast oferować wyłącznie konwersję dokumentów, zaczynało analizować system użytkownika w poszukiwaniu plików świadczących o obecności popularnych portfeli kryptowalutowych: Atomic Wallet i Exodus.
Jeśli aplikacje były zainstalowane, malware modyfikowało ich pliki konfiguracyjne – w szczególności app.asar oraz index.js – dodając kod, który automatycznie podmieniał adresy docelowe transakcji kryptowalutowych. Środki, które miały trafić do legalnego odbiorcy, w rzeczywistości zasilały portfel napastnika.
Atak niepozorny, ale niebezpieczny
Badacze wskazują, że modyfikacja dotyczyła konkretnych wersji aplikacji: 2.91.5 i 2.90.6 dla Atomic Wallet oraz 25.13.3 i 25.9.2 dla Exodus. Co istotne, nawet po usunięciu złośliwego pakietu pdf-to-office z systemu, zainfekowane pliki portfeli nadal pozostają zmodyfikowane, umożliwiając dalsze przechwytywanie środków.
Jedynym skutecznym rozwiązaniem w przypadku naruszenia bezpieczeństwa jest całkowita reinstalacja portfela – łącznie z usunięciem wszystkich składników programowych i plików konfiguracyjnych.
Sztuczna inteligencja na tropie
Złośliwy charakter biblioteki został wykryty dzięki algorytmom opartym na AI, które analizują wzorce znane z wcześniejszych kampanii złośliwego oprogramowania w repozytoriach npm. Systemy uczące się na podstawie istniejących zagrożeń potrafią identyfikować charakterystyczne zachowania – takie jak manipulacja plikami systemowymi czy próby ukrytej komunikacji z serwerami zewnętrznymi.
Hakerzy mogą próbować wprowadzać elementy nieprzewidywalności do logiki złośliwego oprogramowania, ale jeśli jego cel końcowy – jak przejęcie środków – pozostaje niezmienny, AI nadal będzie skutecznym narzędziem w walce z tego typu atakami.
Pokaż / Dodaj komentarze do: Trojan w centralnym repozytorium JavaScript. Namierzyła go sztuczna inteligencja