Solana-Tool stiehlt Krypto von seinen Nutzern

Auf Einen Blick

• Ein gefälschtes GitHub-Repository hat Malware versteckt, die Kryptowährungen stiehlt.
• Die Sicherheitsfirma SlowMist entdeckte die gefährliche Software, die als Solana-Handelsbot getarnt war.
• Der Vorfall betrifft insbesondere Nutzer, die mit Node.js-Paketen arbeiten.

Hintergrund des Vorfalls

Ein Repository auf GitHub, das sich als legitimer Handelsbot für Solana ausgab, wurde enttarnt, weil es Berichten zufolge Malware zur Entwendung von Kryptowährungen verbarg. Laut einem Bericht der Blockchain-Sicherheitsfirma SlowMist vom Freitag wurde das nun gelöschte „solana-pumpfun-bot“-Repository, das vom Benutzer „zldp2002“ betrieben wurde, verwendet, um Nutzerdaten zu stehlen. Die Untersuchung begann, nachdem ein Nutzer am Donnerstag festgestellt hatte, dass seine Gelder gestohlen worden waren.

Technische Analyse der Malware

Das verdächtige GitHub-Repository hatte eine relativ hohe Anzahl an Sternen und Forks, was es in der Community zunächst legitim erscheinen ließ. Alle Code-Änderungen wurden vor etwa drei Wochen vorgenommen, dabei fielen Unregelmäßigkeiten und ein inkonsistentes Muster auf, die laut SlowMist auf ein illegitimes Projekt hindeuteten. Das Projekt basiert auf Node.js und nutzt das Drittanbieter-Paket „crypto-layout-utils“ als Abhängigkeit. „Bei näherer Untersuchung stellten wir fest, dass dieses Paket bereits aus dem offiziellen NPM-Registry entfernt worden war“, so SlowMist.

Die Untersuchung ergab, dass der Angreifer die Bibliothek aus einem anderen GitHub-Repository herunterlud. Nach der Analyse des Pakets wurde festgestellt, dass es stark obfuskiert war, was eine Analyse erschwerte. Nach der Aufhebung der Obfuskation bestätigten die Forscher, dass es sich um ein bösartiges Paket handelte, welches lokale Dateien scannte und im Falle der Entdeckung von wallet-relevanten Inhalten oder privaten Schlüsseln diese an einen Remote-Server hochlud.

Die breitere Problematik

Darüber hinaus ergab die Untersuchung von SlowMist, dass der Angreifer wahrscheinlich eine Reihe von GitHub-Konten kontrollierte, die verwendet wurden, um Projekte in bösartige Varianten zu forked und Malware zu verteilen, während die Fork- und Sternzahlen künstlich erhöht wurden. Mehrere geforkte Repositories wiesen ähnliche Merkmale auf, wobei einige Versionen ein weiteres bösartiges Paket namens „bs58-encrypt-utils-1.0.3“ enthielten. Dieses Paket wurde am 12. Juni erstellt, was mit der Zeit übereinstimmt, in der SlowMist-Forscher vermuten, dass der Angreifer begann, bösartige NPM-Module und Node.js-Projekte zu verteilen.

Dieser Vorfall reiht sich in eine Serie von Angriffen auf die Softwareversorgungskette ein, die sich gegen Krypto-Nutzer richten. In den vergangenen Wochen wurden ähnliche Betrugsmaschen bei Firefox-Nutzern entdeckt, die falsche Wallet-Erweiterungen verwendeten, und GitHub-Repositories, die Code zum Stehlen von Anmeldedaten enthielten, genutzt.

Regionale und globale Sicherheitsmaßnahmen sind dringend erforderlich, um Nutzer vor solchen Bedrohungen zu schützen und die Integrität der Softwareentwicklungsumgebungen zu gewährleisten.

Haftungsausschluss:
Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Finanzberatung oder Anlageempfehlung dar. Die geäußerten Meinungen sind ausschließlich die des Autors und spiegeln nicht zwingend die Ansichten von News-Krypto.de wider. Investitionen in Kryptowährungen bergen erhebliche Risiken – bitte informieren Sie sich eigenständig und konsultieren Sie einen Fachberater, bevor Sie finanzielle Entscheidungen treffen. News-Krypto.de übernimmt keine Haftung für etwaige Verluste.