API-Übernahme durch gezielte Überschreibungen

Im Schatten des anhaltenden Kryptobooms und der wachsenden Abhängigkeit vom Open-Source-Ökosystem warnt das Sicherheitsunternehmen JFrog vor einem gezielten Angriff auf die Software-Lieferkette. Im Python-Paket-Index (PyPI) entdeckten die Security-Forscher ein manipuliertes Paket namens „ccxt-mexc-futures“, das sich als legitime Erweiterung der bekannten Handelsbibliothek CCXT tarnt – mit dem Ziel, gezielt Nutzer der Krypto-Börse MEXC auszuspionieren.

Vertraute Fassade, bösartiger Kern

Der Trick: Das schadhafte Paket imitiert die Struktur und Funktionsweise der echten CCXT-Bibliothek, die von vielen Krypto-Tradern und -Entwicklern genutzt wird. Durch diese Tarnung fügt sich der Schadcode nahtlos in bestehende Handelsprozesse ein. Doch statt regulärer Funktionen liefert das Paket modifizierten Code aus, der Handelsanfragen auf eine von Angreifern kontrollierte Infrastruktur umleitet und dabei gezielt sensible Daten wie API-Schlüssel und Zugangsdaten absaugt.

Manipulierte Schnittstellen und neue Endpunkte

Die Angreifer veränderten zentrale Funktionen wie describe, sign und prepare_request_headers, um die Kontrolle über den Datenfluss zu übernehmen. Besonders perfide: Neben der Manipulation legitimer Aufrufe wurden auch neue Endpunkte wie spot4_private_post_order_place eingeführt, die auf den ersten Blick legitim wirkten, in Wirklichkeit jedoch direkt auf bösartige Server verwiesen.

Verschleierung auf hohem Niveau

Um Entdeckung zu vermeiden, kamen in verschiedenen Versionen des Pakets fortgeschrittene Verschleierungstechniken zum Einsatz. In Version 0.1.4 wurde der Schadcode zunächst base64-kodiert und dann zur Laufzeit mit exec() ausgeführt. Die Version 0.1.8 setzte zusätzlich auf verschachtelte eval()-Aufrufe, um hexadezimale Zeichenketten zu entschlüsseln – ein klarer Hinweis auf die Absicht, Sicherheitsanalysen zu unterlaufen.

Nach der Entschlüsselung stellte der Code eine Verbindung zur Domain v3.mexc.workers.dev her, die vorgab, ein legitimer MEXC-Dienst zu sein. Darüber wurde eine JSON-Datei mit manipulierten API-Parametern geladen – darunter auch Weiterleitungen zur Domain greentreeone[.]com, die vollständig unter Kontrolle der Angreifer stand.