Hacker attackieren Ethereum: So geraten Entwickler in den Fokus

Hacker attackieren Ethereum: So geraten Entwickler in den Fokus

Hacker attackieren Ethereum – das geht aus einem Bericht der IT-Sicherheitsexperten von ReversingLabs hervor. Das Ziel des Angriffs seien ausgerechnet Ethereum-Entwickler, heißt es. Die Masche der Hacker sei gänzlich neu und bisher in keinem anderen Fall entdeckt worden.

“Zwei Fälle neuer Open-Source-Malware sind im Juli von Forschern von ReversingLabs in der Npm-Paket-Repository entdeckt worden. Sie verwenden eine neuartige und kreative Technik, um Malware auf zu verbreiten: Smart Contracts der Ethereum-Blockchain”, schrieb Sicherheitsforscherin Lucija Valentić.

Ethereum smart contracts used to push malicious code on npm https://t.co/VyQxdCEXD2 pic.twitter.com/5hXNjUIqk8

— 보안프로젝트 (@ngnicky) September 3, 2025

Zwar veröffentlichte ReversingLabs die Erkenntnisse erst gestern, die bösartigen Npm-Pakete seien zuweilen aber gar nicht mehr so neu – schon im Juli erreichten sie die Öffentlichkeit.

Das infizierte Paket “colortoolsv2” wurde am 7. Juli über Npm verbreitet. Mit einem nahezu identischen Paket, das dieses Mal den Namen “mimelib2” trug, erfolgte dieselbe Attacke Ende Juli ein zweites Mal.

Die Angreifer maskierten beide Pakete als Utilities – also als grundlegende Inhalte, die andere Entwickler für ihre eigenen Projekte nutzen können. Diese Maskierung sei aber nur sehr oberflächlich, meint Valentić.

“Beide Npm-Pakete, die Teil dieser Kampagne sind, werden als Utility-Libraries bezeichnet, und es wurde kein Aufwand betrieben, um sie vertrauenswürdig erscheinen zu lassen. Sie enthalten nur die Dateien, die zur Implementierung der schädlichen Funktionen erforderlich sind.”

Systematischer Angriff hat Ethereum zum Ziel

Laut Erkenntnissen von ReversingLabs sind die infizierten Pakete Teil eines systematischen Angriffs auf Ethereum. Neben Npm versuchten die Angreifer auch, ihre Schadsoftware über Github zu verbreiten. Dort sei man allerdings umsichtiger vorgegangen und habe aktiv versucht, die Inhalte der Pakete vertrauenswürdig erscheinen zu lassen.

“Es wurde viel Aufwand betrieben, um die infizierten GitHub-Projekte vertrauenswürdig erscheinen zu lassen”, so Valentić.

Ungewöhnlich sei die Vorgehensweise der Hacker, da sie versucht haben, ihre bösartigen Inhalte über Ethereums Smart Contracts umzusetzen.

“Die Verwendung von Ethereum-Smart-Contracts zur Erleichterung der Ausführung von Schadcode machte diese Kampagne ungewöhnlich.”

“Neu und anders ist die Verwendung von Ethereum-Smart-Contracts zum Hosten der URLs, auf denen sich bösartige Befehle befinden, die dann die Malware der zweiten Stufe herunterladen. Das ist etwas, was wir bislang nicht beobachten konnten, und es belegt die rasche Anpassung, um der Erkennung zu entgehen.”

Die Auswirkungen des Angriffs können riesige Ausmaße annehmen. Zunächst können Entwickler befallen werden, welche den Schadcode in ihre eigenen Projekte implementieren könnten. Letztlich sei darüber auch eine Auswirkung auf Endnutzer denkbar.

Das Ziel der Schadsoftware ist es, auf dem System des Opfers einen Trojaner zu installieren, der eine möglichst vollumfängliche Kontrolle über das jeweilige System erlangt und über so abgegriffene Daten Konten kapern, Kryptowährungen aber auch Kreditkarten stehlen kann.

Dafür missbrauchen die Hacker die Vertrauensstruktur von Diensten wie Github. So erstellten sie eine Fülle an gefälschten Programmen und Softwareänderungen – sogenannten Commits – die ihre Schadsoftware angeblich verwenden, nur um arglose Entwickler zu täuschen. Die betroffenen Pakete sind mittlerweile von Npm und Github gelöscht worden.