Der Angriff beginnt, wenn ahnungslose Entwickler bösartige npm-Pakete — wie das scheinbar harmlose „pdf-to-office“ — in ihre Projekte integrieren. Nach der Installation durchsuchen diese Pakete unauffällig das System des Opfers nach installierten Wallets und injizieren schädlichen Code, der darauf abzielt, Kryptowährungstransaktionen auf Wallets unter Kontrolle der Angreifer umzuleiten.
Die Malware nutzt Verschleierungstechniken und führt einen mehrstufigen Prozess aus: Sie lokalisiert und entpackt zentrale Dateien in Wallet-Apps (wie .asar-Dateien, die in Electron-Apps verwendet werden), injiziert manipulierten JavaScript-Code und verpackt die Dateien anschließend neu — was eine Entdeckung durch Sicherheitssysteme erschwert. Durch die Veränderung der Wallet-Software ersetzt die Malware die echte Empfängeradresse durch eine in Base64 codierte Adresse der Angreifer.
Opfer könnten dadurch unbewusst Kryptowährungen wie Ethereum, XRP, Solana oder USDT (Tron-Netzwerk) direkt an Cyberkriminelle senden. Nach erfolgreicher Infektion kommuniziert die Malware mit einem Command-and-Control-Server und übermittelt Informationen wie das Benutzerverzeichnis, um die Infektion zu bestätigen.
Forscher von ReversingLabs identifizierten das bösartige Verhalten durch die Analyse von Netzwerkaktivitäten, codierten Nutzdaten und verdächtigen Code-Mustern. Die Erkenntnisse verdeutlichen die zunehmende Bedrohung durch Software-Lieferkettenangriffe — insbesondere im Krypto-Ökosystem.
Source: Cyber Security News
Um potenzielle Bedrohungen zu minimieren, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen – oder Sie können es selbst versuchen über check.website.