NERDMANBeliebtes China-Tool klaut heimlich deine Daten
Tausende Nutzer installierten ein KI-Autoreply-System für Chinas größte Secondhand-Plattform Xianyu — und lieferten ihre Zugangsdaten direkt an den Entwickler.
Was drinsteckt
Das Open-Source-Projekt „xianyu-auto-reply" auf GitHub verspricht automatisierte Kundenbetreuung per KI. Basiert auf Python und FastAPI, verbindet sich per WebSocket mit den Xianyu-Servern. Klingt praktisch. Ist eine Falle.
Die Backdoor-Kette
Ein Sicherheits-Audit vom Dezember 2024 deckte auf, was wirklich im Code steckt:
- Hardcodierte Passwörter** — In `db_manager.py` (Zeile 623–628) stehen Default-Credentials im Klartext
- Cookie-Abgriff** — Das Tool fängt Xianyu-Session-Cookies ab und leitet sie weiter
- Komplette Datenkette** — Vom Account-Zugang über Transaktionsdaten bis zu persönlichen Infos: alles wird abgesaugt
- Schweregrad:** Hochkritisch
💡 Was das bedeutet
Wer das Tool nutzt, gibt dem Entwickler vollen Zugriff auf seinen Xianyu-Account. Kaufhistorie, Verkaufsdaten, Chatverläufe, persönliche Daten — alles offen. Bei tausenden bis zehntausenden betroffenen Nutzern ein massiver Datendiebstahl durch die Hintertür.
Das dreiste Detail
Der Entwickler selbst schreibt in der README dreimal hintereinander:
爱用不用,风险自担!!!
Übersetzt: „Nutze es oder lass es — auf eigenes Risiko!!!" Dreimal. Als wäre die Warnung ein Freifahrtschein für eingebaute Backdoors.
✅ Pro
- Funktioniert technisch als Autoreply-Bot
- Open Source — theoretisch prüfbar
❌ Con
- Eingebauter Datendiebstahl per Design
- Hardcodierte Credentials im Quellcode
- Tausende Nutzer potenziell betroffen
- „Auf eigenes Risiko" als Ausrede für Malware
