Das Sicherheitsunternehmen Mosyle hat eine Malware-Variante entdeckt, die die Erkennung durch Antivirensoftware umgehen und Daten aus Krypto-Wallets im Browser stehlen kann. Die Malware verbreitet sich über gefälschte Stellenanzeigen im Internet.
Gängige Antivirenprogramme erkannten die ModStealer-Malware fast einen Monat lang nicht, bevor sie Meldung erstatteten. Sie zielte auf Entwickler ab, die bereits mit Node.js-Umgebungen arbeiteten. ModStealer scannt Browser nach Krypto-Wallet-Erweiterungen,dentund digitalen Zertifikaten, bevor die gestohlenen Daten an einen Command-and-Control-Server (C2-Server) gesendet werden. Dieser C2-Server dient Betrügern als zentrale Anlaufstelle zur Verwaltung kompromittierter Geräte.
ModStealer nutzt eine Sicherheitslücke in Node.js aus, um private Schlüssel zu stehlen
9to5Mac zufolge tarnte sich die ModStealer-Malware auf macOS-Systemen als Hintergrundprogramm, um sich dauerhaft einzunisten und bei jedem Neustart des Computers automatisch ausgeführt zu werden. Die infizierten Systeme wiesen eine Datei namens sysupdater.dat und ungewöhnliche Verbindungen zu verdächtigen Servern auf matic
Shan Zhang, Chief Information Security Officer des Blockchain-Sicherheitsunternehmens SlowMist, gab bekannt, dass ModStealer von gängigen Antivirenprogrammen nicht erkannt wird und ein erhebliches Risiko für das Ökosystem digitaler Vermögenswerte darstellt. Er fügte hinzu, dass die Schadsoftware plattformübergreifend funktioniert und unbemerkt ausgeführt wird, was sie von herkömmlicher Malware unterscheidet.
Charles Guillemet, CTO von Ledger, enthüllte einen weiteren ähnlichen Angriff, bei dem Angreifer ein Entwicklerkonto des Node Package Managers (npm) kompromittieren konnten, um Schadcode zu verbreiten, der Wallet-Adressen während Transaktionen unbemerkt ersetzen kann. Er warnte davor, dass solche Vorfälle dent Anfälligkeit von Blockchain-bezogenen Codebibliotheken verdeutlichen.
„Die Fehler der Angreifer führten zu Abstürzen in den CI/CD-Pipelines, was eine frühzeitige Erkennung und begrenzte Auswirkungen ermöglichte. Dennoch ist dies eine deutliche Mahnung: Wenn sich Ihre Gelder in einer Software-Wallet oder auf einer Börse befinden, kann ein einziger Code-Ausführungsschritt zum Totalverlust führen. Kompromittierungen der Lieferkette bleiben ein wirksamer Einfallstor für Schadsoftware, und wir beobachten zudem ein vermehrtes Auftreten gezielter Angriffe.“
– Charles Guillemet , Ledger-CTO
Zhang warnte, dass die ModStealer-Malware eine direkte Bedrohung für Krypto-Nutzer und -Plattformen darstellt. Für einzelne Nutzer könne die Kompromittierung von privaten Schlüsseln, Seed-Phrasen und API-Schlüsseln von Kryptobörsen zu unmittelbaren Verlusten führen. Er wies außerdem darauf hin, dass der massenhafte Diebstahl von Wallet-Daten aus Browsererweiterungen groß angelegte On-Chain-Exploits begünstigen und das Vertrauen der Nutzer schwächen sowie die Risiken entlang der gesamten Krypto-Lieferkette erhöhen könnte.
Neue Cyberangriffe zielen auf Daten von Krypto-Wallets ab
Guillemet entdeckte , dass das JavaScript-Ökosystem durch einen massiven Lieferkettenangriff kompromittiert wurde, der Bibliotheken wie chalk, strip-ansi, color-convert und error-ex ins Visier nahm. Die betroffenen Pakete wurden mehr als eine Milliarde Mal pro Woche heruntergeladen, was eine ernsthafte Bedrohung für das Blockchain-Ökosystem darstellt.
Die Schadsoftware fungierte als Krypto-Clipper und konnte somit Wallet-Adressen in Netzwerkanfragen ersetzen oder Transaktionen modifizieren, die über MetaMask und andere Wallets initiiert wurden. Der Angriff wurde durch einen kleinen Fehler im CI/CD-Pipeline-Build entdeckt. Die Forscher fanden später heraus, dass die Malware zwei Strategien anwandte. Die erste Strategie war passives Adress-Swapping. Dabei wurden ausgehende Netzwerkanfragen überwacht und Wallet-Adressen durch die vom Angreifer kontrollierten Adressen ersetzt. Die Malware nutzte den Levenshtein-Distanz-Algorithmus, der ähnliche Adressen auswählt und so die Erkennung von Änderungen erschwert.
Eine weitere Methode der Angreifer war das aktive Transaktionshijacking. Dabei werden ausstehende Transaktionen im Speicher verändert, bevor sie zur Genehmigung an den Nutzer weitergeleitet werden, sobald eine Krypto-Wallet erkannt wird. So wurden Nutzer dazu verleitet, Überweisungen direkt an die Wallet des Angreifers zu signieren.
Ähnliche Vorfälle dent kürzlich auf Cryptopolitan gemeldet . Dort deckte die Forschung von ReversingLabs eine weitere Schadsoftware auf, die in Ethereum Smart trac Ethereum gespeicherte Schadsoftware herunterluden .
ReversingLabs deckte auf, dass die Schadsoftware Sicherheitsprüfungen umging, indem sie die schädlichen URLs in Ethereum Smart-tracversteckte. Sie wurde später über gefälschte GitHub-Repositories heruntergeladen, die sich als Krypto-Trading-Bots ausgaben. Die Operation stand in Verbindung mit Stargazers Ghost Network, einem System koordinierter Angriffe, das die Legitimität schädlicher Repositories erhöht.
