Die Cybersicherheitsfirma Kaspersky hat ein neues Malware-Framework identifiziert, das speziell darauf ausgelegt ist, Kryptowährungs-Wallets zu leeren. Der Angriffsvektor beruht auf Social Engineering und trojanisierten Anwendungen, die auf GitHub gehostet werden.
Die Kampagne, die Kaspersky in einem am Freitag veröffentlichten Bericht detailliert beschreibt, verwendet gefälschte Versionen legitimer Krypto-Tools. Opfer werden dazu verleitet, bösartigen Code herunterzuladen, der sich als Trading-Bots, Portfolio-Tracker oder Wallet-Management-Software tarnt.
Einmal installiert, kann das Framework Daten aus der Zwischenablage abfangen – indem es kopierte Wallet-Adressen durch von Angreifern kontrollierte ersetzt – und auf dem Gerät gespeicherte private Schlüssel entwenden. Kaspersky gab an, dass die Malware modular aufgebaut ist, was es den Betreibern ermöglicht, Payloads auszutauschen, ohne die gesamte Infektionskette neu aufzubauen.
„Dies ist keine einfache Operation von Script-Kiddies“, bemerkte das Forschungsteam von Kaspersky in dem Bericht. „Das Framework zeigt eine klare Planung. Die Angreifer zielen auf ein spezifisches Publikum ab: Personen, die aktiv Krypto-Assets verwalten und mit der Installation von Open-Source-Tools vertraut sind.“
Die Malware verbreitet sich hauptsächlich über GitHub-Repositories, die legitim erscheinen. Einige Repositories haben Sterne und Forks gesammelt, was sie vertrauenswürdig aussehen lässt. Andere werden über Telegram-Gruppen und auf Krypto-fokussierte Foren beworben.
GitHub ist ein beliebter Vertriebskanal für Krypto-Handelssoftware, von DEX-Aggregator-Integrationen bis hin zu MEV-Bots. Die standardmäßige Vertrauensdynamik der Plattform spielt den Angreifern in die Hände – ein Repository mit aktuellen Commits und reaktionsschnell wirkender Dokumentation kann selbst erfahrene Benutzer täuschen.
Kaspersky nannte keine spezifischen Repositories oder schätzte die Gesamtzahl der Opfer. Das Unternehmen riet Händlern, die Identität der Softwareautoren zu überprüfen, digitale Signaturen zu kontrollieren und Wallet-Operationen nach Möglichkeit auf Air-Gapped-Maschinen durchzuführen.
Für Händler, die auf Tools von Drittanbietern angewiesen sind, sind die Auswirkungen eindeutig: Eine kompromittierte App kann eine Wallet in Sekunden leeren. Keine Phishing-E-Mail erforderlich, keine gefälschte Website zur Überprüfung – der Angreifer befindet sich bereits im Arbeitsablauf des Benutzers.
Das modulare Design des Frameworks deutet darauf hin, dass zukünftige Varianten die Kommunikation mit Hardware-Wallets angreifen oder die Berechtigungen von Browser-Erweiterungen ausnutzen könnten. Kaspersky teilte mit, dass es die Malware unter einem internen Codenamen verfolgt und erwartet, dass die Betreiber den Code weiter verfeinern werden.
Krypto-Investoren sollten jeden Download von GitHub als potenzielles Risiko betrachten. Der sicherste Ansatz: Open-Source bedeutet nicht sicher. Überprüfen Sie den Code selbst, führen Sie ihn zuerst in einer Sandbox aus oder halten Sie sich an bekannte, geprüfte Tools von etablierten Entwicklern.
Kaspersky findet gefälschte Krypto-Apps auf GitHub, die Wallets leeren
Die Cybersicherheitsfirma Kaspersky hat Schadsoftware identifiziert, die über gefälschte Versionen von Krypto-Trading-Bots, Portfolio-Trackern und Wallet-Tools auf GitHub verbreitet wird. Einmal installiert, kann sie kopierte Wallet-Adressen durch die der Angreifer ersetzen und private Schlüssel stehlen, wodurch die Kryptowährungen der Nutzer gefährdet werden.