Krypto-Wallets im Visier einer ausgeklügelten Malware-Kampagne

Cybersicherheitsforscher schlagen Alarm, nachdem sie einen neuen und immer ausgefeilteren Angriff auf die Krypto-Community entdeckt haben.

Diese Welle von Cyberangriffen nutzt eine betrügerische Software-Lieferkette, um beliebte Web3-Wallets, darunter Atomic Wallet und Exodus, ins Visier zu nehmen, und nutzt Schwachstellen im npm-Paketmanager aus, der häufig von JavaScript- und Node.js-Entwicklern verwendet wird.

Im Mittelpunkt des Angriffs steht ein bösartiges Paket namens pdf-to-office, das sich als Tool zur Konvertierung von PDF-Dokumenten in Microsoft-Office-Formate tarnt. Sobald das Paket jedoch heruntergeladen und ausgeführt wird, fügt es heimlich schädlichen Code in das System des Opfers ein und verändert insbesondere lokal installierte Versionen vertrauenswürdiger Krypto-Wallets wie Atomic Wallet und Exodus.

Dieser Code ermöglicht es den Angreifern dann, Kryptowährungstransaktionen heimlich abzufangen und auf von ihnen kontrollierte Wallets umzuleiten, ohne dass das Opfer davon etwas mitbekommt.

MEHR LESEN:

Australien geht gegen fast 100 Krypto-Unternehmen vor, die mit Betrügereien in Verbindung stehen

Was diesen Angriff besonders heimtückisch macht, ist seine Subtilität. Anstatt Open-Source-Repositories direkt anzugreifen, zielen die Angreifer auf bestehende, legitime Softwareinstallationen ab, indem sie diese lokal modifizieren. Diese Technik ist schwerer zu erkennen und schwieriger zu bekämpfen als herkömmliche Supply-Chain-Angriffe, die sich auf vorgelagerten Code auswirken.

Das schädliche PDF-zu-Office-Paket tauchte erstmals im März 2025 auf npm auf und wurde mehrfach aktualisiert, wobei die neueste Version im April veröffentlicht wurde. Mithilfe von Analysen des maschinellen Lernens deckten die Forscher von ReversingLabs das schädliche Verhalten auf und stellten fest, dass das Paket verschleiertes JavaScript enthielt – ein untrügliches Zeichen für eine Malware-Kampagne.

Selbst nachdem die Benutzer das schädliche Paket entfernt hatten, blieb der Schaden bestehen. Die schädlichen Patches blieben in der Web3-Wallet-Software, sodass die Opfer ihre Wallet-Anwendungen vollständig deinstallieren und neu installieren mussten, um den Trojaner zu entfernen und die Sicherheit wiederherzustellen. Dieser Angriff verdeutlicht die sich weiterentwickelnde Natur von Cyber-Bedrohungen im Krypto-Bereich, die sowohl von Entwicklern als auch von Benutzern erhöhte Wachsamkeit erfordern.

Alexander Zdravkov