GitHub-waarschuwing: Malafide 'Crypto' bibliotheek steelt wachtwoorden van developers

Ontwikkelaars in de cryptosector zijn het doelwit van een geraffineerde aanval via GitHub. Een malafide softwaremodule, vermomd als een legitieme tool voor de programmeertaal Go, sluisde de afgelopen uren gevoelige informatie door naar externe servers.

Het gaat hier niet om een simpele phishingmail, maar om een directe aanval op de gereedschapskist van de mensen die onze wallets en DApps bouwen.

De aanval maakt gebruik van een techniek genaamd typosquatting. De hackers publiceerden een module onder de naam github.com/xinfeisoft/crypto.

Voor een haastige developer lijkt dit een standaardpakket voor cryptografische functies. In werkelijkheid bevat de code een venijnige verrassing: zodra een developer een wachtwoord of privésleutel invoert in zijn terminal, wordt deze direct onderschept.

Onderzoekers van beveiligingsplatformen zagen dat de malware specifiek jaagt op gegevens die via de standaard ReadPassword functie worden ingevoerd. Dit is de methode die bijna alle professionele crypto-apps gebruiken om gebruikers veilig hun wachtwoord te laten typen zonder dat het op het scherm verschijnt. De ironie is pijnlijk: de tool die voor veiligheid moet zorgen, is nu juist het lek.

De schade blijft niet beperkt tot gestolen wachtwoorden. De analyse van de code laat zien dat de module ook een zogeheten 'Rekoobe' backdoor installeert op Linux-systemen. Dit geeft de aanvallers op afstand volledige controle over de server of de computer van de ontwikkelaar.

In de wereld van decentralized finance (DeFi) is dit een horrorscenario. Als een developer van een groot protocol per ongeluk deze module gebruikt, kunnen hackers in theorie de volledige broncode aanpassen of 'smart contract' beheerderssleutels stelen voordat een project überhaupt live gaat.

De snelheid waarmee dit soort aanvallen toeneemt in 2026 is opmerkelijk. Waar hackers voorheen probeerden om individuele gebruikers te foppen, verplaatsen ze hun focus nu naar de supply chain.

Het advies voor iedereen die met crypto-code werkt is simpel: controleer je go.mod bestanden direct op de aanwezigheid van Xinfeisoft-verwijzingen.

De kans is groot dat dit slechts het topje van de ijsberg is, aangezien dit soort malafide partijen vaak tientallen vergelijkbare namen registreren om hun kans op succes te vergroten.