Der NPM-Lieferkettenangriff ist eine groß angelegte Kompromittierung seriöser JavaScript-Pakete, die Krypto-Adressen während Transaktionen unbemerkt austauschen und so Gelder stehlen kann. Nutzer sollten das Signieren von Transaktionen vermeiden, integrierte Pakete prüfen und betroffene Module sofort aktualisieren oder entfernen, um das Risiko zu minimieren.
-
Bösartiger Adressentausch in Web-Wallets zielt auf Krypto-Transaktionen ab.
-
Kompromittierte Pakete umfassen weit verbreitete NPM-Module wie „color-name“ und „color-string“.
-
Die betroffenen Pakete wurden über 1 Milliarde Mal heruntergeladen, was die kettenübergreifende Gefährdung erhöht.
NPM-Lieferkettenangriff: STOPPEN Sie jetzt das Signieren von Transaktionen – überprüfen Sie Pakete und sichern Sie Wallets. Erfahren Sie sofortige Schutzmaßnahmen.
Was ist der NPM-Lieferkettenangriff?
Der NPM-Lieferkettenangriff ist eine Kompromittierung seriöser Entwicklerkonten, bei der eine bösartige Nutzlast in JavaScript-Pakete eingeschleust wird. Die Nutzlast kann Krypto-Adressen in webbasierten Wallets und dApps unbemerkt austauschen und so Gelder über mehrere Chains hinweg gefährden.
Wie wurden JavaScript-Pakete kompromittiert?
Sicherheitsforscher und Branchenexperten berichteten, dass ein seriöses Entwicklerkonto auf NPM kompromittiert wurde, wodurch Angreifer manipulierte Updates veröffentlichen konnten. Der bösartige Code ist darauf ausgelegt, im Browser-Kontext von Krypto-Webseiten zu laufen und kann Zieladressen zum Zeitpunkt der Transaktion ändern.
Welche Pakete und Komponenten sind betroffen?
Blockchain-Sicherheitsfirmen identifizierten rund zwei Dutzend beliebte NPM-Pakete, darunter kleine Utility-Module wie „color-name“ und „color-string“. Da NPM ein zentrales Paketmanagementsystem für JavaScript ist, beziehen viele Webseiten und Frontend-Projekte diese Abhängigkeiten transitiv.
| color-name | Hundert Millionen | Hoch |
| color-string | Hundert Millionen | Hoch |
| Andere Utility-Module (gesamt) | 1+ Milliarde insgesamt | Kritisch |
Wie können Krypto-Nutzer ihre Gelder jetzt schützen?
Sofortige Maßnahmen: Stoppen Sie das Signieren von Transaktionen in Web-Wallets, trennen Sie Browser-Wallets von dApps und vermeiden Sie die Interaktion mit Seiten, die auf nicht verifizierten JavaScript-Code angewiesen sind. Überprüfen Sie die Integrität der Pakete in Entwicklungsumgebungen und wenden Sie strenge Content Security Policy (CSP)-Regeln auf von Ihnen kontrollierten Seiten an.
Welche Vorsichtsmaßnahmen sollten Entwickler treffen?
Entwickler müssen Abhängigkeitsversionen fixieren, Paket-Signaturen (sofern verfügbar) prüfen, Tools zur Lieferkettenüberprüfung einsetzen und aktuelle Paket-Updates auditieren. Das Zurücksetzen auf bekannte, sichere Versionen und das Neuaufbauen aus Lockfiles kann das Risiko verringern. Verwenden Sie reproduzierbare Builds und unabhängige Verifizierung für kritische Frontend-Bibliotheken.
Häufig gestellte Fragen
Wie unmittelbar ist die Bedrohung für alltägliche Krypto-Nutzer?
Die Bedrohung ist unmittelbar für Nutzer, die mit webbasierten Wallets oder dApps interagieren, die JavaScript aus öffentlichen Paketen laden. Wenn eine Seite von den kompromittierten Modulen abhängt, kann der Adressentausch-Code während des Transaktionsablaufs im Browser ausgeführt werden.
Wer hat die Kompromittierung identifiziert und was wurde dazu gesagt?
Ledger CTO Charles Guillemet hat das Problem öffentlich hervorgehoben und auf das Ausmaß sowie den Mechanismus des Adressentauschs hingewiesen. Auch Blockchain-Sicherheitsfirmen berichteten über die betroffenen Module. Diese Erkenntnisse stammen aus öffentlichen Beiträgen und Sicherheitshinweisen von Branchenexperten.
Wichtige Erkenntnisse
- Stoppen Sie das Signieren von Transaktionen: Vermeiden Sie das Signieren in Web-Wallets, bis Pakete verifiziert sind.
- Auditieren Sie Abhängigkeiten: Entwickler müssen NPM-Pakete im Frontend-Code fixieren, signieren und scannen.
- Verwenden Sie Schutzmaßnahmen: Trennen Sie Wallets, löschen Sie Sitzungen und setzen Sie CSP sowie Lieferketten-Scanning-Tools ein.
Fazit
Der NPM-Lieferkettenangriff zeigt, wie kleine Utility-Pakete ein systemisches Risiko für Krypto-Nutzer darstellen können, indem sie einen stillen Adressentausch ermöglichen. Bleiben Sie wachsam: Stoppen Sie das Signieren von Transaktionen, auditieren Sie Abhängigkeiten und folgen Sie verifizierten Sicherheitshinweisen. COINOTAG wird diesen Bericht aktualisieren, sobald weitere bestätigte technische Details und Abhilfemaßnahmen veröffentlicht werden (veröffentlicht am 2025-09-08).
