Cyberkriminelle schleusen Schadcode über manipulierte npm-Pakete, wie z.B. "pdf-to-office", in Krypto-Wallets wie Atomic und Exodus ein, um digitale Vermögenswerte zu stehlen. Die Malware manipuliert Transaktionen, indem sie die Empfängeradresse mit der des Angreifers ersetzt und so Gelder umleitet. Sicherheitsforscher von ReversingLabs deckten die Kampagne auf und warnen vor der zunehmenden Bedrohung durch solche Supply-Chain-Angriffe.
Cyberkriminelle nutzen manipulierte npm-Pakete, um Schadcode in legitime Krypto-Projekte einzuschleusen und die digitalen Vermögenswerte ahnungsloser Nutzer zu stehlen. Wie Cryptopolitan berichtet, haben Cybersicherheitsforscher eine ausgeklügelte Malware-Kampagne aufgedeckt, die speziell auf Nutzer der Atomic- und Exodus-Wallets abzielt. Durch das Einschleusen von bösartigem Code werden Transaktionen manipuliert und Gelder auf die Wallets der Angreifer umgeleitet. Dieser Angriff reiht sich in eine Serie von Software-Supply-Chain-Angriffen auf Krypto-Nutzer ein.
Der Ursprung dieser Angriffe liegt oft bei den Entwicklern selbst, die unwissentlich kompromittierte npm-Pakete in ihre Projekte integrieren. Ein Beispiel für ein solches Paket ist "pdf-to-office", welches auf den ersten Blick legitim erscheint, jedoch versteckten Schadcode enthält. Nach der Installation scannt das Paket das System des Nutzers nach installierten Krypto-Wallets und injiziert den Schadcode. Dieser ist in der Lage, Transaktionen abzufangen und ohne Wissen des Nutzers umzuleiten.
Die Folgen für die Opfer sind verheerend. Der Schadcode kann Krypto-Transaktionen unbemerkt auf die Wallets der Angreifer umleiten. Betroffen sind verschiedene digitale Vermögenswerte, darunter Ethereum, Solana, XRP und Tron-basiertes USDT. Die Malware manipuliert die Wallet-Adressen während des Sendevorgangs und ersetzt die legitime Adresse durch die des Angreifers.
Die bösartige Kampagne wurde von Forschern von ReversingLabs durch die Analyse verdächtiger npm-Pakete entdeckt. Verschiedene Indizien für bösartiges Verhalten, wie verdächtige URL-Verbindungen und Codemuster, die denen bereits bekannter Schadprogramme ähneln, führten zur Entdeckung. ReversingLabs berichtet von einer Reihe von Kampagnen in der betreffenden Woche, die versuchten, diesen Schadcode einzusetzen. Die Angreifer nutzen diese Technik vermutlich, um ihre Aktivitäten zu verschleiern und einer Entdeckung zu entgehen.
Eine technische Analyse zeigt den mehrstufigen Ablauf des Angriffs, beginnend mit der Installation des Pakets. Es folgt die Identifizierung der Wallet, die Extraktion von Dateien, die Injektion des Schadcodes und schließlich die Manipulation der Transaktion. Durch Verschleierungstechniken wird die Entdeckung durch herkömmliche Sicherheitstools erschwert. Oftmals ist es für den Benutzer zu spät, wenn der Angriff erkannt wird.
Die Infektion beginnt nach der Installation, wenn das bösartige Paket seine Nutzlast ausführt und die installierte Wallet-Software angreift. Der Code lokalisiert die Anwendungsdateien der Wallet und greift das ASAR-Paketformat an, welches von Electron-basierten Anwendungen verwendet wird. Dateien in Pfaden wie "AppData/Local/Programs/atomic/resources/app.asar" werden gezielt gesucht. Die Malware extrahiert das Anwendungsarchiv, injiziert ihren Schadcode und baut das Archiv wieder zusammen.
Die Injektionen zielen auf JavaScript-Dateien innerhalb der Wallet-Software, insbesondere Vendor-Dateien wie "vendors.64b69c3b00e2a7914733.js". Der Code für die Transaktionsabwicklung wird modifiziert, um die echten Wallet-Adressen durch die des Angreifers zu ersetzen, wobei Base64-Kodierung verwendet wird. Versucht ein Benutzer beispielsweise, Ethereum zu senden, ersetzt der Code die Empfängeradresse durch eine dekodierte Version der Adresse des Angreifers.
Nach erfolgreicher Infektion kommuniziert die Malware mit einem Command-and-Control-Server und sendet Informationen zum Installationsstatus, einschließlich des Pfads zum Home-Verzeichnis des Benutzers. Dies ermöglicht es dem Angreifer, erfolgreiche Infektionen zu verfolgen und möglicherweise weitere Informationen über die kompromittierten Systeme zu sammeln. Laut ReversingLabs zeigt der bösartige Pfad auch Anzeichen von Persistenz, wobei die Web3-Wallet auf Systemen selbst nach Entfernung des Pakets infiziert bleibt. Ein ähnlicher Angriff auf Coinbase, bei dem Angreifer versuchten, ein Open-Source-Projekt der Kryptobörse zu nutzen, wurde von Palo Alto Networks Unit 42 aufgedeckt. Wie Cybersecurity Dive berichtet, wurde dieser Angriff jedoch frühzeitig erkannt und abgewehrt. Die zunehmende Häufigkeit solcher Angriffe unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen im Krypto-Bereich. Wie Sonatype in einem Leitfaden zu Open-Source-Risiken erläutert, sind verschiedene Angriffsvektoren wie kompromittierte Konten, Dependency Confusion und Repository-Hijacking gängige Methoden, um Schadcode in Software einzuschleusen.
Quellen:
