De crypto-wereld is opnieuw opgeschrikt door een sluwe malwarecampagne die Ethereum (ETH), XRP en Solana (SOL) gebruikers in het vizier heeft. Vooral houders die Atomic en Exodus wallets gebruiken, moeten op hun hoede zijn. Deze aanval, die via gehackte Node Package Manager (NPM)-pakketten opereert, leidt transacties stiekem om naar adressen van criminelen – zonder dat je ook maar iets doorhebt. Hoe werkt dit precies, en wat kun je doen om jezelf te beschermen? We zetten alles op een rij.
Hoe slaat de malware toe?
Het begint allemaal met een ogenschijnlijk onschuldig NPM-pakket genaamd “pdf-to-office”. Dit pakket lijkt een handige tool om PDF’s naar Office-bestanden te converteren, maar schijn bedriegt. Achter de façade schuilt kwaadaardige code die je systeem scant op crypto-wallets zoals Atomic en Exodus. Zodra het pakket is geïnstalleerd – vaak door nietsvermoedende ontwikkelaars die het in hun projecten gebruiken – gaat de malware aan de slag.
De aanval verloopt in fases:
- Scannen en injecteren: De malware zoekt naar wallet-bestanden op specifieke paden in je systeem. Zodra het deze vindt, injecteert het schadelijke code in de wallet-software.
- Adresvervanging: Met slimme trucs, zoals base64-gecodeerde adressen, vervangt de malware het ontvangstadres van je transactie door een adres dat de aanvaller controleert.
- Onzichtbare diefstal: Voor jou lijkt alles normaal – de wallet-interface toont geen rare dingen. Maar als je de transactie op de blockchain checkt, zie je dat je ETH, XRP of SOL naar een onbekend adres is verdwenen.
Het resultaat? Je crypto is weg, en je merkt het pas als het te laat is. Volgens onderzoekers van ReversingLabs is dit een “escalatie in aanvallen op de software supply chain,” en dat maakt het extra zorgwekkend.
Welke crypto’s zijn het doelwit?
De malware is niet kieskeurig en richt zich op meerdere grote munten:
- Ethereum (ETH)
- XRP
- Solana (SOL)
- Tron-gebaseerde USDT
De aanval is zo geavanceerd dat hij gebruikmaakt van verduisteringstechnieken om antivirussoftware en andere detectietools te omzeilen. ReversingLabs ontdekte verdachte URL-verbindingen en codepatronen die matchen met eerdere bedreigingen, wat wijst op een goed voorbereide operatie.
Waarom Atomic en Exodus?
Atomic en Exodus zijn populaire wallets vanwege hun gebruiksvriendelijkheid en ondersteuning voor meerdere crypto’s. Maar juist die populariteit maakt ze een magneet voor criminelen. De malware richt zich specifiek op oudere versies van deze wallets (bijvoorbeeld Atomic 2.91.5/2.90.6 en Exodus 25.13.3/25.9.2), wat betekent dat je extra risico loopt als je software niet up-to-date is.
Schokkend detail: zelfs als je het “pdf-to-office”-pakket verwijdert, blijft je wallet besmet. De enige oplossing? De wallet volledig van je systeem gooien en opnieuw installeren vanaf een schone bron. En nee, de officiële installers van Atomic en Exodus zijn niet gehackt – het probleem ontstaat pas als de malware je lokale software aantast.
Wat kun je doen om veilig te blijven?
Dit soort aanvallen zijn een wake-upcall voor iedereen in crypto. Hier zijn een paar tips om jezelf te beschermen:
- Controleer je software: Download alleen NPM-pakketten van vertrouwde bronnen en check recensies of meldingen van verdacht gedrag. Wees extra voorzichtig met nieuwe of weinig gedownloade pakketten.
- Update je wallet: Zorg dat je altijd de nieuwste versie van Atomic, Exodus of andere wallets gebruikt. Oudere versies zijn vaak kwetsbaarder.
- Gebruik een hardware wallet: Overweeg een cold wallet zoals Ledger of Trezor voor je belangrijkste holdings. Deze zijn veel minder vatbaar voor dit soort software-aanvallen.
- Check transacties: Verifieer altijd het ontvangstadres op de blockchain voordat je grote bedragen verstuurt. Een extra controle kan je een hoop ellende besparen.
- Scan je systeem: Gebruik betrouwbare antivirussoftware en doe regelmatig een grondige scan om verdachte bestanden op te sporen.
Toch is er hoop. De snelle detectie door ReversingLabs en de verwijdering van “pdf-to-office” uit de NPM-registry laten zien dat de community waakzaam is. Maar zolang dit soort aanvallen doorgaat, blijft voorzichtigheid geboden.
Het bericht Pas op! Gevaarlijke malware richt zich op Ethereum, XRP en Solana verscheen eerst op CryptoBenelux.