Один импорт — и криптовалюта уплывает к хакерам. Что они нашли в недрах Atomic Wallet?

Специалисты Socket обнаружили вредоносный npm-пакет под названием nodejs-smtp, который маскируется под популярную библиотеку nodemailer (средний объём загрузок — 3,9 миллиона в неделю), но на деле служит инструментом для скрытого вмешательства в работу криптокошельков и перехвата транзакций. При установке и импорте пакет изменяет структуру десктопного кошелька Atomic Wallet на Windows, внедряет в него вредоносный JavaScript и незаметно подменяет адрес получателя криптовалюты на кошелёк злоумышленника.

На данный момент вредоносный пакет всё ещё доступен в реестре npm, а команда Socket подала запрос на его удаление и блокировку связанного аккаунта разработчика nikotimon.

Сценарий атаки запускается сразу после установки модуля. При импорте выполняется функция patchAtomic, которая находит установленное приложение Atomic Wallet на диске, извлекает содержимое его основного архива app.asar, заменяет файл vendors.*.js в каталоге dist/electron на вредоносный скрипт a.js, затем повторно упаковывает приложение и удаляет все временные файлы и директории, чтобы замести следы.

Внедрённый код при этом никак не нарушает работу кошелька и не затрагивает пользовательский интерфейс. Однако при каждой попытке отправки средств он незаметно подменяет адрес назначения на один из заранее заданных. Если токен не распознан, по умолчанию подставляется Ethereum-адрес злоумышленника.

Так любой разработчик, который установил nodejs-smtp и запустил приложение, автоматически активирует заражение. Даже если отправка почты не используется, модификация кошелька всё равно происходит. Это особенно опасно, если модуль попадает в проект через транзитивные зависимости или копируется из примеров в интернете и ИИ-ассистентах: по имени, описанию и API он полностью имитирует nodemailer, а значит может ввести в заблуждение даже опытного разработчика.

Для маскировки вредоносная библиотека действительно выполняет функции почтового клиента и совместима с интерфейсом nodemailer, позволяя успешно проходить тесты и не вызывать подозрений. Кроме Atomic Wallet, модуль также ориентирован на приложение Exodus. Специалисты зафиксировали попытки модификации архивов app.asar обоих кошельков. После внедрения вредоносного кода временные каталоги удаляются, что затрудняет выявление атаки.

Анализ показал, что кампания спланирована заранее, имеет масштабируемую структуру и может быть повторно использована в других вредоносных пакетах. Хотя на данный момент активность аккаунта nikotimon остаётся низкой, характер кода и механизмов заражения указывает на высокий уровень угрозы и потенциальный ущерб.

Особую тревогу вызывает тот факт, что такие библиотеки всё чаще попадают в проекты благодаря генеративным инструментам, которые «придумывают» реалистичные названия пакетов. Если разработчик просит ИИ-ассистента порекомендовать библиотеку для отправки почты из Node.js, модель может посоветовать якобы корректное имя nodejs-smtp — и пользователь, не задумываясь, установит подделку.

Socket подчёркивает, что методы атаки становятся всё более изощрёнными: вредоносный код активируется при простом импорте, меняет сторонние приложения, сохраняется между перезагрузками и даже не требует взаимодействия с почтовыми функциями. Использование архивов Electron делает вмешательство особенно устойчивым. Компания призывает ожидать роста количества подобных атак через экосистемы open-source, включая npm и PyPI. По данным Socket, такие кампании уже охватывают не только Ethereum и Solana, но и TRON, TON и другие сети.