Neue Malware-Kampagne gegen Kryptowährungsnutzer
Cybersecurity-Forscher haben Details zu einer Malware-Kampagne veröffentlicht, die gezielt auf Ethereum, XRP und Solana-Nutzer abzielt. Der Angriff richtet sich vor allem gegen Benutzer von Atomic- und Exodus-Wallets durch kompromittierte Node Package Manager (NPM)-Pakete.
Diese Pakete leiten Transaktionen ohne das Wissen der Wallet-Besitzer auf von Angreifern kontrollierte Adressen um. Der Angriff beginnt, wenn Entwickler unwissentlich manipulierte NPM-Pakete in ihren Projekten installieren. Forscher identifizierten bbpdf-to-officeab als ein kompromittiertes Paket, das auf den ersten Blick legitim wirkt, jedoch versteckten blschichtigen bsartigen Code enthält.
„Diese jüngste Kampagne stellt eine Eskalation der laufenden Angriffe auf Kryptowährungsnutzer dar, insbesondere durch Angriffe auf die Software-Lieferkette“
bemerkten die Forscher in ihrem Bericht. Die Malware kann Transaktionen in mehreren Kryptowährungen umleiten, einschließlich Ethereum (ETH), USDT auf Tron-Basis, XRP (XRP) und Solana (SOL).
Kampagnenanalyse und -methoden
ReversingLabs identifizierte die Kampagne durch die Analyse verdächtiger NPM-Pakete und entdeckte zahlreiche Indikatoren für bösartiges Verhalten, darunter verdächtige URL-Verbindungen und Code-Muster, die mit zuvor identifizierten Bedrohungen übereinstimmen.
Die technische Untersuchung zeigt einen mehrstufigen Angriff, der fortgeschrittene Obfuskationstechniken einsetzt, um einer Entdeckung zu entgehen. Der Infektionsprozess beginnt, wenn das schädliche Paket seine Nutzlast ausführt, die gezielt auf die im System installierte Wallet-Software abzielt.
Der Code sucht speziell nach Anwendungsdateien in bestimmten Verzeichnissen. Nachdem diese gefunden wurden, extrahiert die Malware das Anwendungsarchiv. Dieser Prozess erfolgt durch Code, der temporäre Verzeichnisse erstellt, die Anwendungsdateien extrahiert, den bösartigen Code injiziert und anschließend alles so zusammenpackt, dass es normal aussieht.
Manipulation von Transaktionen
Die Malware verändert den Code zur Transaktionsverarbeitung, um legitime Wallet-Adressen durch von Angreifern kontrollierte Adressen zu ersetzen, wobei Base64-Kodierung verwendet wird. Zum Beispiel, wenn ein Benutzer versucht, ETH zu senden, ersetzt der Code die Empfängeradresse durch die Adresse eines Angreifers, die aus einem Base64-String dekodiert wird.
Die Auswirkungen dieser Malware können verheerend sein, da Transaktionen im Wallet-Interface normal erscheinen, während Gelder tatsächlich an die Angreifer überwiesen werden. Benutzer haben keine visuelle Rückmeldung darüber, dass ihre Transaktionen kompromittiert wurden, bis sie die Blockchain-Transaktion überprüfen und feststellen, dass die Gelder an eine unerwartete Adresse gesendet wurden.
