Eine neue Cyber-Bedrohung erschüttert die Krypto-Welt: Malware in npm-Paketen zielt gezielt auf Atomic und Exodus Wallets ab. Diese Angriffe nutzen Software-Supply-Chains aus, um private Schlüssel zu stehlen und Kryptovermögen umzuleiten.
Die Sicherheitsforscher von ReversingLabs schlagen Alarm: Eine neue Malware wird über scheinbar harmlose npm-Pakete wie `pdf-to-office` verbreitet. Diese Software, oft von Entwicklern genutzt, enthält bösartigen Code, der gezielt lokale Installationen von Atomic und Exodus Wallets kompromittiert. Die Malware prüft das Vorhandensein der Wallets und ersetzt dann kritische Dateien durch trojanisierte Versionen. Das Ziel: Private Schlüssel stehlen und ausgehende Transaktionen auf vom Angreifer kontrollierte Adressen umleiten, die oft Base64-kodiert sind, um Entdeckung zu erschweren.
Die Angreifer gehen äußerst präzise vor und zielen auf spezifische Versionen der Wallet-Software. Bei der Atomic Wallet waren die Versionen 2.91.5 und 2.90.6 betroffen, wobei jeweils unterschiedliche interne JavaScript-Dateien (`vendors.*.js`) ausgetauscht wurden. Für die Exodus Wallet nahmen die Kriminellen die Versionen 25.13.3 und 25.9.2 ins Visier, indem sie die Datei `src/app/ui/index.js` modifizierten. Diese zielgerichteten Angriffe zeigen ein tiefes Verständnis der Wallet-Architekturen und erhöhen das Risiko für unachtsame Nutzer erheblich.
Ein besonders perfides Merkmal: Die Malware bleibt auch nach Entfernung des ursprünglichen npm-Pakets aktiv. Nur eine vollständige Deinstallation und Neuinstallation der Wallet-Software entfernt die Bedrohung.
Über die reine Kompromittierung hinaus versuchen die Angreifer, ihre Spuren zu verwischen und zusätzliche Daten zu exfiltrieren. So werden beispielsweise Chat-Protokolle und Trace-Dateien der AnyDesk-Remote-Software komprimiert und an C2-Server gesendet. Dies deutet auf langfristig angelegte Kampagnen hin, bei denen die Akteure entweder weitere sensible Informationen sammeln oder Beweise ihrer Aktivitäten vernichten wollen, um einer Entdeckung durch On-Chain-Analyse oder Forensik zu entgehen und Fiatverluste der Opfer zu maximieren.
Solche Vorfälle sind klassische Beispiele für Software-Supply-Chain-Angriffe, eine wachsende Bedrohung im digitalen Raum. Angreifer infiltrieren vertrauenswürdige Software-Repositories wie npm, um bösartigen Code in weit verbreitete Pakete einzuschleusen. Entwickler integrieren diese Pakete unwissentlich in ihre Projekte, wodurch die Malware eine enorme Reichweite erzielt. Diese Methode umgeht oft traditionelle Sicherheitsmaßnahmen, da der Schadcode von einer scheinbar legitimen Quelle stammt und tief in die Systeminfrastruktur eindringen kann, bevor er entdeckt wird.
Die finanziellen Folgen solcher Exploits sind immens. Laut dem Cybersicherheitsunternehmen Hacken beliefen sich die Verluste durch Krypto-Hacks allein im ersten Quartal 2025 auf rund 2 Milliarden US-Dollar. Ein signifikanter Teil davon entfiel auf den Bybit-Hack im Februar 2025. Zusätzlich verdeutlichen Address-Poisoning-Attacken, die laut Cyvers im März 2025 Verluste von 1,2 Millionen US-Dollar verursachten, die zunehmende Raffinesse der Angreifer, die On-Chain Transaktionshistorien manipulieren, um Nutzer zu täuschen.
Um dich vor solchen Angriffen zu schützen, ist höchste Wachsamkeit geboten. Aktualisiere deine Wallet-Software und alle Abhängigkeiten regelmäßig. Nutze umfassende Sicherheits-Tools und aktiviere stets die Zwei-Faktor-Authentifizierung (2FA). Bewahre Private Keys idealerweise auf einem Hardware-Wallet offline auf. Sei extrem vorsichtig bei der Installation von Software-Paketen, prüfe deren Herkunft und Reputation genau. Vertraue nicht blind auf Paketnamen – verifiziere die Quelle und prüfe auf verdächtige Code-Bestandteile.
