6 Minuten
Dringende Warnung für Ethereum- und Binance Smart Chain-Nutzer
Sicherheitsforscher von Cisco Talos haben eine Cyberkriminalitätskampagne identifiziert, die mit Nordkorea in Verbindung gebracht wird und eine Malware-Familie verfolgt, die als OtterCookie/BeaverTrail bekannt ist. Diese Bedrohung zielt gezielt auf Nutzer von Ethereum und der Binance Smart Chain (BSC) ab, um Kryptowährungen, Zugangsdaten und sensible Informationen zu entwenden. Die Angreifer verbreiten die Schadsoftware über gefälschte Krypto-Anwendungen und bösartige npm-Pakete, wodurch sie in der Lage sind, private Schlüssel, Inhalte der Zwischenablage, Bildschirmfotos und Daten von Browser-Wallet-Erweiterungen wie MetaMask zu stehlen. Insgesamt handelt es sich um eine kombinierte Angriffskette aus Social Engineering, Lieferketten-Manipulation und gezielter Datenauslese, die insbesondere Anwender mit „hot wallets“ und Entwicklern, die npm-Pakete nutzen, gefährdet.
Wie der Angriff funktioniert
Die Angreifer locken ihre Opfer häufig mit gefälschten Stellenangeboten, vermeintlichen Projektaufträgen oder Einladungen zu lukrativen Kooperationen. In vielen Fällen lädt der Nutzer scheinbar harmlosen, jedoch obfuskierten JavaScript-Code aus einer nicht vertrauenswürdigen Quelle herunter und führt ihn auf seinem Hauptsystem aus. Sobald dieser Code ausgeführt wird, installiert sich die OtterCookie/BeaverTrail-Malware und beginnt systematisch, sensible Informationen zu sammeln. Zu den typischen Funktionen zählen das Auslesen von Browser-Extensions, das Abgreifen von Seed-Phrases und privaten Schlüsseln, das Erfassen von Inhalten der Zwischenablage (Clipboard Hijacking), sowie das Erstellen von Screenshots und das Sammeln von Dateien aus definierten Verzeichnissen.
Die erbeuteten Daten werden anschließend zu Command-and-Control-(C2)-Servern der Angreifer exfiltriert, die von der Bedrohungsgruppe kontrolliert werden. Technisch gesehen nutzt die Malware modulare Komponenten, um sich an verschiedene Zielumgebungen anzupassen: Ein Modul kümmert sich um das Scannen und Identifizieren installierter Wallet-Erweiterungen wie MetaMask, ein anderes überwacht die Zwischenablage auf typische Muster von Seed-Phrases oder privaten Schlüsseln. Ein weiterer Mechanismus ermöglicht die persistente Ausführung durch Registrierungen in Autostart-Punkten oder durch das Einschleusen von Startskripten. Diese Angriffsvektoren machen deutlich, dass die Ausführung unbekannter oder anonymen Codes auf einem primären Gerät das Haupt-Einfallstor für diese Wallet-Entführungen bleibt.
Aus Sicht der Erkennung und Abwehr sind einige Indikatoren besonders relevant: unerwartete Netzwerkverbindungen zu seltenen Domains, Prozesse, die auf Browser-Verzeichnisse zugreifen, wiederholte Clipboard-Aktivitäten mit kurzen Intervallen, sowie unautorisierte Token-Approvals oder Transaktionen auf der Blockchain. Für Entwickler und Sicherheitsteams ist es wichtig, die Risiken von npm-Paketen in Software-Lieferketten nicht zu unterschätzen: bösartige Pakete können gekapselte Loader enthalten, die zur Laufzeit weiteren Schadcode nachladen. Deshalb sollten automatisierte Scans, Code-Reviews und strengere Zulassungsprozesse für Paketinstallationen zur Standardpraxis gehören.
Sofortmaßnahmen für potenzielle Opfer
Wenn Sie den Verdacht haben, kompromittiert worden zu sein, sollten Sie zunächst davon ausgehen, dass alle sogenannten „hot wallets“ (online verbundene Wallets) kompromittiert sind. Praktische Schritte, die umgehend zu ergreifen sind, umfassen die Übertragung verbleibender Guthaben auf sichere Wallets – idealerweise auf ein Hardware-„cold wallet“ –, das Zurückziehen beziehungsweise Widerrufen alter Token-Freigaben (Token Approvals) und das Ändern aller relevanten Passwörter. Konkret bedeutet das: erzeugen Sie auf einem sauberen, vertrauenswürdigen Gerät ein neues Wallet, transferieren Sie dort Ihre Vermögenswerte hin und entziehen Sie gegebenenfalls Vertragsberechtigungen über Blockchain-Tools oder Wallet-Oberflächen.
Darüber hinaus empfehlen Sicherheitsexperten oft eine Neuinstallation des Betriebssystems, um persistente Schadsoftware vollständig zu entfernen, da manche Backdoors und Rootkits sich tief in Systembereiche einnisten können. Vor einer Rückkehr zu produktiven Aktivitäten sollten Sie das kompromittierte Gerät gründlich analysieren oder professionell forensisch untersuchen lassen. Tragen Sie zudem dafür Sorge, dass Sie keine privaten Schlüssel oder Seed-Phrasen über die Zwischenablage übertragen; vermeiden Sie das Kopieren und Einfügen sensibler Informationen auf einem potenziell unsicheren System. Setzen Sie außerdem auf Passwortmanager und generieren Sie starke, einzigartige Passwörter – ändern Sie alle Passwörter, die auf dem kompromittierten Gerät eingegeben wurden.
Weitere sinnvolle Maßnahmen sind die Aktivierung von Multi-Faktor-Authentifizierung (MFA) für verbundene Dienste, das Informieren von Börsen oder Dienstleistern, falls Vermögenswerte transferiert wurden, und das rechtzeitige Dokumentieren aller verdächtigen Aktivitäten (Zeitstempel, Transaktions-Hashes, betroffene Adressen). Wenn Token-Approvals missbraucht wurden, können Tools wie Etherscan oder spezialisierte Interfaces zur Widerrufung (z. B. revoke.cash) eingesetzt werden, um Berechtigungen einzuschränken. Beachten Sie allerdings: sobald eine Seed-Phrase oder ein privater Schlüssel kompromittiert ist, ist die sicherste Option, die Gelder auf eine völlig neue, vorher nie auf dem kompromittierten Gerät verwendete Adresse zu transferieren.
Prävention und bewährte Sicherheitsmaßnahmen
Zum Schutz vor dieser Art von Angriffen sollten Anwender und Entwickler mehrere Verteidigungslinien implementieren. Vermeiden Sie die Ausführung nicht überprüfter npm-Pakete oder anonymen Codes auf Ihrem Hauptgerät; testen Sie neue Pakete zunächst in isolierten Umgebungen wie Containern, virtuellen Maschinen oder dedizierten Testsystemen. Für größere Bestände ist die Verwendung von Hardware-Wallets (z. B. Ledger, Trezor) unabdingbar, weil private Schlüssel dort niemals das Gerät verlassen. Begrenzen Sie außerdem die Freigaben von Token-Berechtigungen auf das notwendige Minimum und nutzen Sie bei möglichkeit zeitlich oder mengenmäßig begrenzte Approvals.
Weitere praktische Empfehlungen umfassen die regelmäßige Überprüfung und das Auditieren installierter Browser-Extensions und npm-Abhängigkeiten, die Nutzung von Signaturen und Checksums beim Download von Wallet-Software, sowie das Einrichten von Alarmen für ungewöhnliche Blockchain-Transaktionen. Setzen Sie automatische Updates für Betriebssystem und Browser ein, verwenden Sie Endpoint-Protection- und EDR-Lösungen, und aktivieren Sie Netzwerkfilter, die bekanntermaßen schädliche Domains blockieren. Entwickler sollten zusätzlich Maßnahmen gegen Lieferkettenangriffe einführen, zum Beispiel durch das Sperren von Paketversionen (lockfiles), Verwendung vertrauenswürdiger Registry-Providern und regelmäßige Sicherheitsüberprüfungen von Abhängigkeiten (npm audit, Dependabot, Snyk).
Schließlich ist die Sensibilisierung ein zentraler Faktor: bilden Sie Teams und Anwender zu Social-Engineering-Techniken weiter und kommunizieren Sie klar, welche Kommunikationswege und Installationsquellen vertrauenswürdig sind. Prüfen Sie regelmäßig Sicherheits-Hinweise von offiziellen Stellen oder renommierten Sicherheitsforschungsgruppen und verlassen Sie sich nur auf verifizierte Quellen, wenn Sie Krypto-Tools oder Aktualisierungen installieren. Durch eine Kombination aus sicherer Hardware, diszipliniertem Umgang mit Berechtigungen, strengen Ablaufprozessen bei Paketinstallationen und kontinuierlicher Überwachung reduzieren Sie das Risiko, Opfer einer Wallet-Entführung wie durch OtterCookie/BeaverTrail zu werden.
Quelle: smarti
Kommentar hinterlassen