Die Sicherheit von Kryptowährungen wird zunehmend durch raffinierte Cyberangriffe bedroht, die speziell auf Software-Ökosysteme abzielen, denen viele Anwender vertrauen. Ein aktueller Fall zeigt, wie Angreifer ein schädliches npm-Paket namens pdf-to-office einsetzen, um Nutzer der populären Krypto-Wallets Atomic Wallet und Exodus zu kompromittieren. Dabei wird die Absicht der Angreifer erst bei sorgfältiger Analyse deutlich – sie tauschen die regulären Zieladressen in Transaktionen gegen eigene, betrügerische Wallet-Adressen aus und stehlen so heimlich Krypto-Vermögen. Die Technik solcher Attacken ist Teil eines zunehmend besorgniserregenden Trends, der als Software Supply Chain Attacken bekannt ist. Bei dieser Art von Angriffen werden legitime Softwarekomponenten oder deren Abhängigkeiten verdeckt manipuliert, um Schadcode unbemerkt auszuführen.
Das npm-Repository, eine weitverbreitete Plattform für JavaScript-Bibliotheken, wird dabei zunehmend missbraucht, weil Entwickler fahrlässig oder unwissentlich bösartige Pakete in ihre Projekte integrieren können. Das Paket pdf-to-office, das ursprünglich vorgibt, PDF-Dokumente in Microsoft Word-Dateien umzuwandeln, entpuppt sich als Träger versteckter Schadfunktionen. Seit seiner Veröffentlichung im März 2025 mit mehreren Updates wird es aktuell weiterhin angeboten und konnte bereits mehr als 300 Downloads verzeichnen. Die Methode dahinter ist besonders heimtückisch: Sobald das Paket auf einem Windows-Rechner installiert ist, überprüft es das Vorhandensein bestimmter Dateien und Verzeichnisse, die auf die Installation von Atomic Wallet oder Exodus hinweisen. Bei Atomic Wallet wird gezielt das AppData-Verzeichnis untersucht, um die Datei app.
asar ausfindig zu machen, die letztlich manipuliert wird. Die Schadsoftware überschreibt darin bestimmte Dateien mit Trojanerversionen, die zwar wie die Originalsoftware funktionieren, aber den Ziel-Parameter der Krypto-Transaktion ändern. Statt der vom Nutzer vorgesehenen Wallet-Adresse wird die Adresse eines vom Angreifer kontrollierten Web3-Wallets eingefügt. Das Ergebnis ist oft eine unwiderrufliche Umleitung von Kryptowährung an Betrüger, da Transaktionen in Blockchain-Netzwerken irreversibel sind. In ähnlicher Weise wird bei der Exodus Wallet ein spezifischer JavaScript-Code in der Datei src/app/ui/index.
js modifiziert, um dieselbe Adressentausch-Funktionalität zu erreichen. Dabei zielen die Angreifer gezielt auf bestimmte Versionen der Wallet-Software ab, um sicherzustellen, dass die Manipulation technisch funktioniert und nicht vom Anwender sofort entdeckt werden kann. Betroffen sind bei Atomic Wallet die Versionen 2.91.5 und 2.
90.6 sowie bei Exodus die Versionen 25.13.3 und 25.9.
2. Eine besonders gefährliche Eigenschaft dieser Attacke ist ihre Persistenz. Selbst wenn ein Nutzer das bösartige npm-Paket pdf-to-office deinstalliert, bleiben die manipulierten Dateien innerhalb der Wallet-Software bestehen. Das bedeutet, dass die Wallet weiterhin kompromittiert bleibt und Transaktionen weiterhin an die Adressen der Angreifer umgelenkt werden. Eine vollständige Bereinigung erfordert daher die Deinstallation und anschließende Neuinstallation der Wallet-Software.
Die Erkenntnisse stammen von Sicherheitsexperten von ReversingLabs, die das Verhalten des Pakets analysierten und die Manipulationen detailliert dokumentierten. Der Vorfall reiht sich in eine Reihe von Supply Chain Angriffen auf npm-Pakete ein. Erst kürzlich wurden Pakete entdeckt, die Rückkanäle über SSH-Verbindungen aufbauen, um Remote-Kontrolle durch Angreifer zu erlauben. Diese Angriffe zeigen, wie verbreitet und komplex Software-Attacken in Entwicklerumgebungen geworden sind. Diese Entwicklungen werfen ein Schlaglicht auf das allgemein unterschätzte Risiko bei der Nutzung öffentlicher Paketregistries wie npm.
Entwickler und Nutzer von Software müssen wachsam sein, denn Pakete mit ähnlichen Namen oder verlockenden Funktionen können bösartigen Code enthalten. Ebenso wichtig ist ein konsequentes Sicherheitsmanagement in Entwicklungsprozessen – dazu gehören unter anderem Code-Reviews, die Nutzung von signierten Paketen, sowie automatisierte Sicherheits-Scans von Abhängigkeiten. Neben npm-Paketen sind auch andere Plattformen und Erweiterungen gefährdet. So zeigte ein separater Fall, dass bösartige Visual Studio Code Extensions sich als nützliche Werkzeuge tarnen, heimlich Schadcode ausführen, Windows-Schutzmechanismen deaktivieren und Mining-Software für Kryptowährungen installieren. Diese Beispiele machen deutlich, wie vielseitig und ausgeklügelt Cyberangriffe mittlerweile vorgehen.
Für Nutzer von Atomic Wallet und Exodus ist der Vorfall eine ernste Warnung. Es wird empfohlen, sämtliche Installationen auf verdächtige npm-Pakete zu überprüfen und Wallet-Software auf die neuesten Versionen zu aktualisieren und bei Zweifel komplett neu zu installieren. Auch sollte der Umgang mit Kryptowährungen grundsätzlich mit besonderer Vorsicht erfolgen, da der Verlust durch derartige Betrugsmaschen unwiderruflich ist. Abschließend zeigt der Angriff auf pdf-to-office, wie wichtig eine ganzheitliche Sicherheitsperspektive im Umgang mit Softwareentwicklung und Kryptowährungen ist. Die Kombination aus Supply Chain Angriffen und Wallet-Manipulationen offenbart neue Angriffsflächen, die es zu schließen gilt.
Es ist entscheidend, dass Entwickler, Anwender und Sicherheitsforscher eng zusammenarbeiten, um diese Bedrohungen frühzeitig zu erkennen, transparenter zu machen und entsprechende Schutzmechanismen zu implementieren. Das Thema verdeutlicht auch, wie wichtig kontinuierliche Weiterbildung und Aufmerksamkeit in der Cybersecurity-Landschaft sind. Kryptowährungen bleiben ein attraktives Ziel für Cyberkriminelle, die Methoden immer weiter verfeinern und anpassen. Nur durch langfristiges und gemeinsames Engagement aller Beteiligten können digitale Vermögenswerte effektiv geschützt und Vertrauen in neue Technologien gestärkt werden. In der digitalen Welt von heute ist Wachsamkeit der Schlüssel zum Schutz vor derartigen komplexen Angriffen.
Nutzer sollten stets misstrauisch gegenüber unbekannten oder wenig bewerteten Software-Paketen sein, insbesondere wenn diese tief ins System eingreifen oder auf kritische Anwendungen zugreifen. Die Kombination aus bewährten technischen Sicherheitsmaßnahmen, sicherer Entwicklungsumgebung und aufgeklärten Anwendern bildet den besten Schutz gegen die wachsende Bedrohung durch Supply Chain Angriffe im Krypto-Umfeld.
