Die Welt der Kryptowährungen lockt nicht nur Entwickler sondern ebenfalls Angreifer an. Diese attackieren gezielt Softwareentwickler für Ethereum. Die Angreifer nutzen gezielt gefälschte Plug-ins der Ethereum-Entwicklungsumgebung Hardhat.
Manipulation durch gefälschte Plug-ins
Aktuell stehen die Entwickler unter Druck. Angreifer haben 20 bösartige Pakete von drei Programmierern identifiziert. Diese Pakete erreichen teils weiterhin als tausend Downloads. Die Kompromittierung der Entwicklungsumgebungen führt zu ernsthaften Risiken. Hintertüren in Produktivsystemen und der Verlust von Geldmitteln sind mögliche Folgen.
Schwierigkeiten bei der Bekämpfung von Command-and-Control-Strukturen
Ein weiteres Problem ist die Art der Angriffe. Die Täter nutzen die dezentrale Natur der Blockchain aus. So können sie Adressen von Command-and-Control-Servern abgreifen. Die IT-Sicherheitsforscher von Socket haben dazu Ethereum-Wallet-Adressen gefunden die mit der Malware-Kampagne in Verbindung stehen. Es ist für die Ermittler schwierig die Infrastruktur zu stören oder abzuschalten.
Imitation als Strategie
Die Angreifer haben sich eine raffinierte Strategie ausgedacht. Sie orientieren sich an der regulären Namensgebung der Hardhat-Plug-ins. Dazu gehören bösartige Pakete wie @nomisfoundation/hardhat-configure oder @monicfoundation/hardhat-config. Diese Plug-ins sehen legitim aus, deshalb schaffen sie Vertrauen bei den Entwicklern. Auch die Funktionen sind imitierend. Ein schädliches Plug-in nennt sich hardhat-deploy-others, während das Original den Namen hardhat-deploy trägt.
Risikopotenzial bei der Verwendung von NPM-Paketen
Die bösartigen Plug-ins richten sich gegen den Deployment-Prozess von Ethereum-Smart-Contracts. Durch das Hosting auf NPM missbrauchen die Kriminellen das Vertrauen der Entwickler in das Ökosystem. Sie nutzen Funktionen wie hreInit() oder hreConfig() um sensible Daten auszuschleusen. Die legitimen Plug-ins nutzen die Hardhat Runtime Environment für sichere Aufgaben, während die schädlichen Pakete dies missbrauchen.
Aufruf zur Vorsicht
Die Analysten von Socket geben eine klare Warnung. Entwickler müssen bei der Wahl ihrer Pakete äußerst wachsam sein. Eine strenge Prüfung und regelmäßige Überwachung der Entwicklungsumgebungen werden dringend empfohlen. Der Blog-Beitrag listet zudem 16 schädliche Pakete auf. Auch bösartige URLs, Krypto-Schlüssel und Ethereum-Adressen können Hinweise auf mögliche Infektionen liefern.
Zunehmende Bedrohungen für Entwickler
Angreifer richten ihren Fokus immer wieder auf Entwickler in der Krypto-Branche. Ein Beispiel dafür fand Ende November statt. Ein Entwickler wollte mit ChatGPT einen "Bump Bot" programmieren. Die KI fügte jedoch eine betrügerische API in den Code ein. Das führte zu einem Verlust von 2500 US-Dollar für den Krypto-Interessierten. Entwicklern wird geraten » wachsam zu bleiben « um nicht selbst Opfer solcher Angriffe zu werden.
Kommentare