Bedrohungsakteure schleusen Schadcode in legitime Kryptoprojekte ein

Cyberkriminelle schleusen nun Schadcode in legitime Projekte ein, um digitale Vermögenswerte ahnungsloser Nutzer zu stehlen. Berichten zufolge haben Cybersicherheitsforscher eine ausgeklügelte Malware-Kampagne aufgedeckt, die Krypto-Nutzer über manipulierte npm-Pakete ins Visier nimmt.

Dem Bericht zufolge zielt der Angriff gezielt auf Nutzer der Wallets Atomic und Exodus ab. Der Angreifer manipuliert Transaktionen, indem er Schadcode einschleust, der Gelder auf seine eigene Wallet umleitet. Diese jüngste Kampagne reiht sich in die anhaltende Angriffsserie gegen Kryptonutzer ein, die durch Software-Lieferkettenangriffe ausgelöst wird.

Der Angriff geht in der Regel von den Entwicklern aus, die meist unwissentlich die manipulierten npm-Pakete in ihre Projekte einbinden. Ein solches Paket, das in dieser Kampagnedent, ist „pdf-to-office“. Es erscheint normal und legitim, enthält aber versteckten Schadcode. Nach der Installation scannt das Paket das Gerät des Nutzers nach installierten Krypto-Wallets und schleust den Schadcode ein, der Transaktionen abfangen und umleiten kann, ohne dass der Nutzer es bemerkt.

Cybersicherheitsforscher weisen auf Schadcode hin, der es auf Krypto-Wallets abgesehen hat

Die Folgen dieses Angriffs sind für die Opfer verheerend, da die Schadsoftware Kryptotransaktionen unbemerkt auf die vom Angreifer kontrollierten Wallets umleiten kann. Diese Angriffe betreffen verschiedene digitale Assets, darunter Ethereum, Solana, XRPund den Tronbasierenden USDT. Die Malware führt diesen Angriff aus, indem sie die Wallet-Adresse von der legitimen Adresse auf die vom Angreifer kontrollierte Adresse umleitet, sobald ein Nutzer Geld senden möchte.

entdeckt von ReversingLabs . Die Forscher wiesen auf zahlreiche Indizien für schädliches Verhalten hin, darunter verdächtige URL-Verbindungen und Code-Muster, die Ähnlichkeiten mit bereits bekannten Schadsoftware-Paketen aufweisen. Sie erwähnten, dass es diese Woche mehrere Kampagnen gab, die versucht haben, den Schadcode einzusetzen. Sie vermuten, dass die Angreifer diese Technik nutzen, um sich dauerhaft einzunisten und einer Entdeckung zu entgehen.

„Zuletzt veröffentlichte eine Kampagne am 1. April ein Paket namens pdf-to-office im npm-Paketmanager, das sich als Bibliothek zur Konvertierung von PDF-Dateien in Microsoft Office-Dokumente ausgab. Bei der Ausführung schleuste das Paket jedoch Schadcode in die legitimen, lokal installierten Krypto-Wallet-Programme Atomic Wallet und Exodus ein und überschrieb dabei vorhandene, harmlose Dateien“, so ReversingLabs.

Infektionsmechanismus und Code-Injektion

Laut technischer Untersuchung ist der Angriff mehrstufig und beginnt mit der Installation des Pakets durch den Nutzer. Anschließend erfolgen Wallet-dent,trac, Einschleusung von Schadcode und schließlich die Übernahme von Transaktionen. Die Angreifer nutzen zudem Verschleierungstechniken, um ihre Absichten zu verbergen. Dadurch wird es für herkömmliche Tools schwierig, den Angriff zu erkennen, sodass es für den Nutzer meist zu spät ist, ihn zu bemerken.

Nach der Installation beginnt die Infektion, sobald das Schadprogramm seine Nutzlast ausführt und die installierte Wallet-Software angreift. Der Codedentden Speicherort der Anwendungsdateien der Wallet, bevor er das vontronbasierten Anwendungen verwendete ASAR-Paketformat ins Visier nimmt. Der Code sucht gezielt nach Dateien in Pfaden wie „AppData/Local/Programs/atomic/resources/app.asar“. Sobald er die Datei gefunden hat,tracdie Malware das Anwendungsarchiv, injiziert ihren Schadcode und erstellt das Archiv anschließend neu.

Die Schadsoftware zielt gezielt auf JavaScript-Dateien innerhalb der Wallet-Software ab, insbesondere auf Anbieterdateien wie „vendors.64b69c3b00e2a7914733.js“. Anschließend modifiziert sie den Code zur Transaktionsverarbeitung, um die echten Wallet-Adressen durch die Base64-kodierten Adressen des Angreifers zu ersetzen. Versucht ein Nutzer beispielsweise, Ethereumzu senden, ersetzt der Code die Empfängeradresse durch eine dekodierte Version.

Nach erfolgreicher Infektion kommuniziert die Malware über einen Command-and-Control-Server und sendet Informationen zum Installationsstatus, einschließlich des Pfads zum Benutzerverzeichnis. Dadurch kann der und potenziell tracInformationen über die kompromittierten Systeme sammeln. Laut ReversingLabs zeigt der Schadprozess zudem Anzeichen von Persistenz: Die Web3-Wallet ist auf Systemen weiterhin infiziert, selbst nachdem das Paket entfernt wurde.