در این کمپین، مهاجمان با سوءاستفاده از زنجیره تأمین نرم‌افزار و استفاده از بسته‌های مخرب، کیف‌پول‌های معروف Web3 مانند اتمیک والت و اکسودوس را هدف قرار داده‌اند. این حمله با بهره‌گیری از آسیب‌پذیری‌هایی در مدیر بسته npm که در توسعه JavaScript و Node.js رایج است، انجام شده است.

هسته اصلی این حمله بسته‌ای جعلی به‌نام pdf-to-office است که ظاهراً ابزاری برای تبدیل فایل‌های PDF به فرمت‌های آفیس مایکروسافت به‌نظر می‌رسد. اما پس از نصب و اجرا، این بسته به‌طور مخفیانه کدی مخرب را به سیستم قربانی تزریق می‌کند که نسخه‌های محلی کیف‌پول‌های رمزارزی نصب‌شده، مانند Atomic و اکسودوس را دستکاری می‌کند.

این کد به مهاجمان اجازه می‌دهد تا تراکنش‌های رمزارزی کاربران را به‌صورت پنهانی رهگیری کرده و به کیف‌پول‌هایی که در کنترل خود دارند منتقل کنند، بدون آن‌که کاربر از این سرقت باخبر شود.

آن‌چه این حمله را به‌شدت خطرناک می‌کند، روش زیرکانه آن است. برخلاف بسیاری از حملات زنجیره تأمین که کد منبع باز را هدف قرار می‌دهند، در این روش، نرم‌افزارهای نصب‌شده و معتبر به‌صورت محلی تغییر داده می‌شوند. این تکنیک تشخیص را دشوارتر کرده و مقابله با آن را نیز پیچیده‌تر می‌سازد.

این بسته مخرب برای نخستین بار در مارس ۲۰۲۵ روی npm ظاهر شد و در ادامه چندین نسخه به‌روزرسانی‌شده از آن منتشر شد که جدیدترین آن در آوریل عرضه شده است. تحلیل‌های مبتنی‌بر یادگیری ماشین توسط شرکت ReversingLabs نشان داد که این بسته حاوی کد جاوااسکریپت مبهم‌سازی‌شده است؛ نشانه‌ای آشکار از فعالیت‌های مخرب سایبری.

حتی پس از حذف بسته آلوده، اثرات آن همچنان باقی می‌ماند. تغییرات ایجادشده در کیف‌پول‌ها تا زمانی که نرم‌افزارها به‌طور کامل حذف و دوباره نصب نشوند، از بین نمی‌روند. این حمله نشان می‌دهد که تهدیدهای سایبری در حوزه رمزارز روزبه‌روز پیچیده‌تر می‌شوند و توسعه‌دهندگان و کاربران باید هوشیاری خود را دوچندان کنند