Ein enormer Supply-Chain-Angriff trifft derzeit die JavaScript-Welt, bei dem populäre NPM-Pakete mit bösartigem Code infiziert wurden. Millionen von Projekten weltweit sind dadurch gefährdet, insbesondere Nutzer, die Kryptowährungen besitzen. Der Angriff ist besonders ausgefeilt und zielt gezielt auf den Diebstahl von digitalen Vermögenswerten durch manipulierte Netzwerkaufrufe ab.
Bitcoin ist erhältlich bei Bitvavo und Bybit.
Krypto-Transaktionen durch ausgeklügelte Malware in Gefahr
Der Angriff begann, als das Konto eines bekannten Entwicklers auf NPM (qix) übernommen wurde. Daraufhin veröffentlichte der Angreifer infizierte Updates von weitverbreiteten Paketen wie chalk, strip-ansi und color-convert. Zusammen erreichen diese Bibliotheken mehr als eine Milliarde Downloads pro Woche. Dadurch ist praktisch jedes JavaScript-Projekt im Internet potenziell betroffen.
Was macht die Malware genau? Es handelt sich um einen sogenannten „Krypto-Clipper“, ein Stück Software, das automatisch Krypto-Adressen während Transaktionen austauscht. Der Nutzer glaubt, seine eigene Wallet-Adresse zu verwenden, aber das Skript ersetzt diese im letzten Moment durch eine Adresse des Angreifers. Noch hinterhältiger ist, dass die Ersetzung mit einer Adresse erfolgt, die dem Original stark ähnelt – dank eines Algorithmus, der visuelle Ähnlichkeiten berechnet. Dadurch fallen die Änderungen mit bloßem Auge kaum auf.
Nutzer von Hardware-Wallets sind vorerst sicherer
Nutzer mit einer Hardware-Wallet sind relativ sicher, sofern sie sorgfältig prüfen, an welche Adresse sie ihre Kryptowährungen senden, bevor sie eine Transaktion unterzeichnen. Für alle, die eine Software-Wallet verwenden, gilt die Empfehlung, vorerst keine On-Chain-Transaktionen durchzuführen. Es besteht nämlich die Möglichkeit, dass die Malware auch versucht, direkten Zugriff auf die Wiederherstellungsphrasen (Seeds) von Wallets zu erlangen, auch wenn dies noch nicht mit absoluter Sicherheit bestätigt ist.
Der bösartige Code wurde entdeckt, nachdem ein Fehler im Build-Prozess auftrat. Dieser Hinweis führte die Forscher zu der infizierten Version des Pakets error-ex, in dem stark verschlüsselter Code versteckt war. Bei der Analyse wurde klar, dass das Skript Netzwerkaufrufe abfängt und Krypto-Informationen stiehlt.
So können Sie Ihre Projekte absichern
Obwohl viele der infizierten Versionen inzwischen von NPM entfernt wurden, können sie immer noch über Abhängigkeiten eingeschleust werden. Entwicklern wird daher geraten, die sogenannte overrides-Funktion in package.json zu verwenden, um sichere Versionen der betroffenen Pakete zu erzwingen. Vergessen Sie danach nicht, Ihr node_modules sowie package-lock.json zu löschen und mit npm install neu zu installieren.
Einer der von den Angreifern verwendeten Ethereum-Adressen ist öffentlich und über Etherscan einsehbar: 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976. Die Liste mit weiteren Adressen ist in einer Analyse auf Substack verfügbar.
Für alle, die in Web3, mit Kryptowährungen oder JavaScript arbeiten: Seien Sie in den kommenden Tagen äußerst vorsichtig. Selbst ein einfaches Update eines Pakets kann die Tür für den Diebstahl Ihrer digitalen Vermögenswerte öffnen. Lesen Sie auch dieses aktuelle Beispiel, wie sich Angriffe entwickeln können.
Sichern Sie sich 10 Euro in kostenlosen Memecoins
Starten Sie Ihr Memecoin-Abenteuer im Jahr 2025 mit 10 Euro an kostenlosen Memecoins Ihrer Wahl. In Zusammenarbeit mit Bitvavo dürfen wir treuen Lesern vorübergehend 10 Euro in kostenlosen Memecoins oder anderen Kryptowährungen schenken. Hierfür ist eine Mindesteinzahlung von 10 € erforderlich.
Bitvavo hat eine große Auswahl an Memecoins im Angebot und fügt regelmäßig neue Memecoins hinzu. Pro Token gilt eine Mindestinvestition von 5 €.
Erstellen Sie über den untenstehenden Button ein Konto und Sie erhalten einen Krypto-Bonus von 10 Euro. Zusätzlich können Sie in den ersten 7 Tagen nach der Registrierung die ersten 10.000 € komplett gebührenfrei handeln (im Wert von 25 €). Alle Bedingungen finden Sie auf der Seite unter dem Button.