Cyberkriminelle attackieren Krypto-Wallets: Atomic Wallet und Exodus im Fokus

Cyberkriminelle zielen erneut auf Nutzer von Krypto-Wallets ab. Laut ReversingLabs wurden schädliche Softwarepakete in die npm-Registry, eine Online-Bibliothek für JavaScript-Code, eingeschleust, um die Krypto-Wallets Atomic Wallet und Exodus zu kompromittieren. Diese Pakete tarnen sich als nützliche Tools, injizieren jedoch Schadcode in die lokal installierte Wallet-Software.

Der Angriff erfolgt durch Manipulation der lokal installierten Software, auch "Patching" genannt. Dabei wird der Code legitimer Programme verändert, um die Kontrolle über Krypto-Transaktionen zu erlangen. Konkret wird die Zieladresse für Krypto-Überweisungen durch die Adresse der Angreifer ersetzt, wodurch das Geld der Opfer direkt an die Cyberkriminellen fließt.

Ein Beispiel hierfür ist das npm-Paket "pdf-to-office", das vorgibt, PDF-Dateien in Microsoft Office-Dokumente zu konvertieren. Nach der Installation manipuliert es jedoch die lokalen Dateien der Atomic Wallet und Exodus Software. ReversingLabs berichtet, dass das Paket kurz nach seiner Entdeckung von npm entfernt, später aber in einer neuen Version wieder hochgeladen wurde.

Diese Angriffsmethode ähnelt einer früheren Kampagne, bei der die Pakete "ethers-provider2" und "ethers-providerz" verwendet wurden, um einen Reverse Shell auf den Rechnern der Opfer zu installieren. Der Vorteil dieser Taktik besteht darin, dass der Schadcode auch nach der Entfernung des bösartigen Pakets auf dem System verbleibt.

Im Fall von "pdf-to-office" sucht der Schadcode gezielt nach bestimmten Versionen von Atomic Wallet und Exodus. Die manipulierten Dateien behalten ihre ursprüngliche Funktionalität bei, leiten aber die Krypto-Überweisungen an die Angreifer um. Laut ReversingLabs besteht die einzige Möglichkeit zur vollständigen Entfernung der manipulierten Software in der Deinstallation und Neuinstallation der betroffenen Wallets.

Auch andere Plattformen sind betroffen. ExtensionTotal berichtet von zehn schädlichen Erweiterungen für Visual Studio Code, die nach der Installation ein PowerShell-Skript herunterladen, um die Windows-Sicherheit zu deaktivieren und einen Krypto-Miner zu installieren.

Die zunehmende Komplexität dieser Angriffe unterstreicht die Wichtigkeit von Sicherheitsmaßnahmen im Krypto-Bereich. Nutzer sollten Software ausschließlich aus vertrauenswürdigen Quellen herunterladen und stets aktuell halten.

Quellen:

• ReversingLabs: https://www.reversinglabs.com/blog/atomic-and-exodus-crypto-wallets-targeted-in-malicious-npm-campaign
• The Hacker News: https://thehackernews.com/2025/04/malicious-npm-package-targets-atomic.html
• Crypto News: https://cryptonews.net/news/security/30799522/
• Cointelegraph: https://cointelegraph.com/news/atomic-exodus-wallets-targeted-cybersecurity-exploit
• Security Week: https://www.securityweek.com/cryptocurrency-wallets-targeted-via-python-packages-uploaded-to-pypi/
• Hacking News: https://hackread.com/pypi-malware-crypto-wallet-tools-steal-private-keys/
• The Register: https://www.theregister.com/2025/02/13/north_korea_npm_crypto/
• Dark Reading: https://www.darkreading.com/cloud-security/open-source-poisoned-patches-infect-local-software
• Crypto.news: https://crypto.news/new-phishing-exodus-campaign-targets-chinese-crypto-investors/