Terug naar Nieuws

Kaspersky vindt nep-crypto-apps op GitHub die wallets leegroven

Cybersecuritybedrijf Kaspersky heeft kwaadaardige software geïdentificeerd die wordt verspreid via nepversies van crypto trading bots, portfolio trackers en wallet-tools op GitHub. Eenmaal geïnstalleerd, kan het gekopieerde wallet-adressen vervangen door die van aanvallers en privésleutels stelen, waardoor de cryptovaluta van gebruikers in gevaar komt.
Cybersecuritybedrijf Kaspersky heeft een nieuw malware-framework geïdentificeerd dat specifiek is ontworpen om cryptocurrency-wallets leeg te halen. De aanvalsmethode maakt gebruik van social engineering en getrojaniseerde applicaties die op GitHub worden gehost.

De campagne, die Kaspersky vrijdag in een rapport beschreef, gebruikt nepversies van legitieme crypto-tools. Slachtoffers worden verleid om kwaadaardige code te downloaden die zich voordoet als trading bots, portfolio trackers of software voor wallet-beheer.

Eenmaal geïnstalleerd, kan het framework klembordgegevens onderscheppen – waarbij gekopieerde wallet-adressen worden vervangen door adressen die door de aanvaller worden beheerd – en privésleutels stelen die op het apparaat zijn opgeslagen. Kaspersky stelt dat de malware modulair is, waardoor de beheerders ervan payloads kunnen uitwisselen zonder de hele infectieketen opnieuw op te bouwen.

"Dit is geen simpele 'script kiddie-operatie," merkte het onderzoeksteam van Kaspersky op in het rapport. "Het framework toont duidelijke planning. Aanvallers richten zich op een specifiek publiek: mensen die actief crypto-activa beheren en vertrouwd zijn met het installeren van open-source tools."

De malware verspreidt zich voornamelijk via GitHub-repositories die er legitiem uitzien. Sommige repo's hebben sterren en forks verzameld, waardoor ze betrouwbaar lijken. Andere worden gepromoot via Telegram-groepen en op crypto gerichte forums.

GitHub is een populair distributiekanaal voor crypto-handelssoftware, van DEX-aggregator-integraties tot MEV-bots. De dynamiek van standaardvertrouwen op het platform werkt in het voordeel van de aanvallers – een repo met recente commits en documentatie die responsief lijkt, kan zelfs ervaren gebruikers misleiden.

Kaspersky noemde geen specifieke repo's en gaf geen schatting van het totale aantal slachtoffers. Het bedrijf adviseerde handelaren om de identiteit van software-auteurs te verifiëren, digitale handtekeningen te controleren en wallet-operaties indien mogelijk op fysiek geïsoleerde computers uit te voeren.

Voor handelaren die afhankelijk zijn van tools van derden, zijn de gevolgen duidelijk: een gecompromitteerde app kan een wallet in seconden leegmaken. Geen phishing-e-mail nodig, geen nepwebsite om te controleren – de aanvaller bevindt zich al binnen de workflow van de gebruiker.

Het modulaire ontwerp van het framework suggereert dat toekomstige varianten zich kunnen richten op de communicatie met hardware-wallets of misbruik kunnen maken van de permissies van browserextensies. Kaspersky zei dat het de malware volgt onder een interne codenaam en verwacht dat de beheerders de code zullen blijven verfijnen.

Crypto-investeerders moeten elke download van GitHub als een potentieel risico beschouwen. De veiligste aanpak: open-source betekent niet veilig. Controleer de code zelf, voer deze eerst uit in een sandbox, of houd het bij bekende, geauditeerde tools van gevestigde ontwikkelaars.

Gerelateerd nieuws