Eine neue Schadsoftware stiehlt Kryptowährungen wie ETH, XRP und SOL aus digitalen Geldbörsen, insbesondere Atomic Wallet und Exodus Wallet, durch kompromittierte NPM-Pakete. Die Malware manipuliert Transaktionen, indem sie die Empfängeradressen unbemerkt austauscht und so die Gelder auf Konten der Angreifer umleitet. Experten warnen vor dieser Eskalation von Software-Supply-Chain-Angriffen im Krypto-Bereich.
Eine neue Malware-Kampagne hat es auf Kryptowährungs-Nutzer abgesehen und entwendet unbemerkt Ether (ETH), XRP und Solana (SOL) aus deren digitalen Geldbörsen (Wallets). Wie crypto.news berichtet, konzentriert sich der Angriff vorwiegend auf Nutzer der Atomic Wallet und Exodus Wallet und verwendet kompromittierte Pakete des Node Package Managers (NPM). Die Schadsoftware leitet Transaktionen auf vom Angreifer kontrollierte Adressen um, ohne dass der Wallet-Besitzer dies bemerkt.
Der Angriff beginnt damit, dass Entwickler unwissentlich mit Trojanern infizierte npm-Pakete in ihre Projekte einbauen. Ein von Forschern identifiziertes Paket namens "pdf-to-office" erscheint legitim, enthält jedoch versteckten Schadcode. Nach der Installation durchsucht das Paket das System nach installierten Kryptowährungs-Wallets und injiziert bösartigen Code, der Transaktionen abfängt.
Cybersecurity-Experten zufolge stellt diese Kampagne eine Eskalation der Angriffe auf Kryptowährungs-Nutzer durch Software-Supply-Chain-Angriffe dar. Die Malware kann Transaktionen über verschiedene Kryptowährungen hinweg umleiten, darunter Ethereum, Tron-basiertes USDT, XRP und Solana.
ReversingLabs identifizierte die Kampagne durch die Analyse verdächtiger npm-Pakete und entdeckte mehrere Indikatoren für bösartiges Verhalten, darunter verdächtige URL-Verbindungen und Codemuster, die mit zuvor identifizierten Bedrohungen übereinstimmen. Die technische Untersuchung von ReversingLabs zeigt einen mehrstufigen Angriff, der fortschrittliche Verschleierungstechniken verwendet, um der Entdeckung zu entgehen.
Der Infektionsprozess beginnt, wenn das bösartige Paket seine Nutzlast ausführt, die auf die auf dem System installierte Wallet-Software abzielt. Der Code sucht gezielt nach Anwendungsdateien in bestimmten Pfaden. Sobald diese gefunden sind, extrahiert die Malware das Anwendungsarchiv. Dieser Prozess beinhaltet das Erstellen temporärer Verzeichnisse, das Extrahieren der Anwendungsdateien, das Injizieren des Schadcodes und das anschließende Neuverpacken, um ein normales Erscheinungsbild zu gewährleisten.
Die Malware manipuliert den Code für die Transaktionsabwicklung, um legitime Wallet-Adressen durch vom Angreifer kontrollierte Adressen zu ersetzen, wobei die Base64-Kodierung verwendet wird. Versucht ein Benutzer beispielsweise, ETH zu senden, ersetzt der Code die Empfängeradresse durch die Adresse eines Angreifers, die aus einer Base64-Zeichenkette dekodiert wurde.
Die Folgen dieser Malware können schwerwiegend sein, da die Transaktionen in der Wallet-Oberfläche normal erscheinen, während die Gelder an die Angreifer gesendet werden. Benutzer erhalten keinen visuellen Hinweis auf die Kompromittierung ihrer Transaktionen, bis sie die Blockchain-Transaktion überprüfen und feststellen, dass die Gelder an eine unerwartete Adresse geflossen sind. Ein ähnlicher Angriff wurde im März 2025 von Cointelegraph gemeldet, bei dem eine Malware namens "MassJacker" Krypto-Adressen in der Zwischenablage manipulierte. Auch Kaspersky warnte im Februar 2025 vor Krypto-Malware in App-Entwicklungskits für Android und iOS, die nach Seed-Phrases sucht.
Quellen:
