Cybersicherheitsforscher schlagen Alarm, nachdem sie einen neuen und immer ausgefeilteren Angriff auf die Krypto-Community entdeckt haben.
Diese Welle von Cyberangriffen nutzt eine betrügerische Software-Lieferkette, um beliebte Web3-Wallets, darunter Atomic Wallet und Exodus, ins Visier zu nehmen, und nutzt Schwachstellen im npm-Paketmanager aus, der häufig von JavaScript- und Node.js-Entwicklern verwendet wird.
Im Mittelpunkt des Angriffs steht ein bösartiges Paket namens pdf-to-office, das sich als Tool zur Konvertierung von PDF-Dokumenten in Microsoft-Office-Formate tarnt. Sobald das Paket jedoch heruntergeladen und ausgeführt wird, fügt es heimlich schädlichen Code in das System des Opfers ein und verändert insbesondere lokal installierte Versionen vertrauenswürdiger Krypto-Wallets wie Atomic Wallet und Exodus.
Dieser Code ermöglicht es den Angreifern dann, Kryptowährungstransaktionen heimlich abzufangen und auf von ihnen kontrollierte Wallets umzuleiten, ohne dass das Opfer davon etwas mitbekommt.
Was diesen Angriff besonders heimtückisch macht, ist seine Subtilität. Anstatt Open-Source-Repositories direkt anzugreifen, zielen die Angreifer auf bestehende, legitime Softwareinstallationen ab, indem sie diese lokal modifizieren. Diese Technik ist schwerer zu erkennen und schwieriger zu bekämpfen als herkömmliche Supply-Chain-Angriffe, die sich auf vorgelagerten Code auswirken.
Das schädliche PDF-zu-Office-Paket tauchte erstmals im März 2025 auf npm auf und wurde mehrfach aktualisiert, wobei die neueste Version im April veröffentlicht wurde. Mithilfe von Analysen des maschinellen Lernens deckten die Forscher von ReversingLabs das schädliche Verhalten auf und stellten fest, dass das Paket verschleiertes JavaScript enthielt – ein untrügliches Zeichen für eine Malware-Kampagne.
Selbst nachdem die Benutzer das schädliche Paket entfernt hatten, blieb der Schaden bestehen. Die schädlichen Patches blieben in der Web3-Wallet-Software, sodass die Opfer ihre Wallet-Anwendungen vollständig deinstallieren und neu installieren mussten, um den Trojaner zu entfernen und die Sicherheit wiederherzustellen. Dieser Angriff verdeutlicht die sich weiterentwickelnde Natur von Cyber-Bedrohungen im Krypto-Bereich, die sowohl von Entwicklern als auch von Benutzern erhöhte Wachsamkeit erfordern.
Die erste Hälfte des Jahres 2025 ist laut neuen Daten mit über $2.1 Milliarden, die bei mehr als 75 verschiedenen Vorfällen gestohlen wurden, zum schädlichsten Halbjahr in der Geschichte der Kryptowährungen geworden.
Eine neue Art von Cyberangriffen breitet sich in den Kryptomedien aus, wobei statt Smart-Contract-Fehlern Pop-ups auf Websites und Wallet-Connect-Aufforderungen ausgenutzt werden.
Ein bekannter Investor der Krypto-VC-Firma Hypersphere ist Opfer einer ausgeklügelten Phishing-Attacke geworden, durch die ein erheblicher Teil seiner persönlichen Ersparnisse vernichtet wurde.
CoinMarketCap, eine der meistgenutzten Plattformen zur Verfolgung von Kryptodaten, ist Berichten zufolge mit einer Sicherheitslücke im Frontend konfrontiert, wobei mehrere Nutzer eine verdächtige Aufforderung zur Überprüfung ihrer Wallets erhalten haben.