Der größte Supply-Chain-Angriff in der Geschichte zielt auf Krypto-Nutzer durch kompromittierte JavaScript-Pakete ab

Ein neuer Cyberangriff zielt derzeit stillschweigend auf die Kryptowährungen von Nutzern während Transaktionen ab, im Rahmen eines Vorfalls, den Sicherheitsforscher als den größten Supply-Chain-Angriff der Geschichte bezeichnen.

BleepingComputer berichtete, dass Hacker die Konten von NPM-Paketbetreuern durch Phishing-E-Mails kompromittierten und Malware einschleusten, die Kryptowährungen stiehlt.

Der Angriff richtete sich an JavaScript-Entwickler mit betrügerischen E-Mails, die scheinbar von „support@npmjs.help“ stammten, einer gefälschten Domain, die das legitime NPM-Register imitiert.

Die Phishing-Nachrichten warnten die Betreuer, dass ihre Konten am 10. September gesperrt würden, sofern sie ihre Zwei-Faktor-Authentifizierungsdaten nicht über einen bösartigen Link aktualisieren.

Angreifer kompromittierten erfolgreich 18 weit verbreitete JavaScript-Pakete mit insgesamt mehr als 2,6 Milliarden wöchentlichen Downloads.

Zu den kompromittierten Bibliotheken gehören grundlegende Entwicklungstools wie „chalk“ (300 Millionen wöchentliche Downloads), „debug“ (358 Millionen) und „ansi-styles“ (371 Millionen), was praktisch das gesamte JavaScript-Ökosystem betrifft.

Ziel auf Krypto

Der bösartige Code funktioniert als browserbasierter Abfangmechanismus und überwacht den Netzwerkverkehr auf Krypto-Transaktionen über die Netzwerke von Ethereum, Bitcoin, Solana, Tron, Litecoin und Bitcoin Cash.

Wenn Nutzer Krypto-Überweisungen initiieren, ersetzt die Malware stillschweigend die Ziel-Wallet-Adressen durch von Angreifern kontrollierte Konten, bevor die Transaktion signiert wird.

Aikido Security-Forscher Charlie Eriksen erklärte:

„Was es gefährlich macht, ist, dass es auf mehreren Ebenen arbeitet: Es verändert Inhalte, die auf Websites angezeigt werden, manipuliert API-Aufrufe und beeinflusst, was die Apps der Nutzer zu signieren glauben.“

Ledger-CTO Charles Guillemet warnte Krypto-Nutzer vor der anhaltenden Bedrohung und wies darauf hin, dass das JavaScript-Ökosystem angesichts der enormen Download-Zahlen kompromittiert sein könnte.

Hardware-Wallet-Nutzer bleiben geschützt, wenn sie die Transaktionsdetails vor dem Signieren überprüfen, während Software-Wallet-Nutzer einem höheren Risiko ausgesetzt sind. Guillemet riet:

„Wenn Sie keine Hardware-Wallet verwenden, verzichten Sie vorerst auf On-Chain-Transaktionen.“

Er merkte außerdem an, dass unklar sei, ob Angreifer Seed-Phrasen direkt aus Software-Wallets extrahieren können.

Hochentwickelte Zielauswahl

Der Angriff stellt eine ausgeklügelte Supply-Chain-Attacke dar, bei der Kriminelle vertrauenswürdige Entwicklungsinfrastrukturen kompromittieren, um Endnutzer zu erreichen.

Durch das Eindringen in Pakete, die wöchentlich Milliarden Mal heruntergeladen werden, erlangten die Angreifer beispiellosen Zugang zu Kryptowährungsanwendungen und Wallet-Oberflächen.

BleepingComputer identifizierte die Phishing-Infrastruktur, die Zugangsdaten an „websocket-api2.publicvm.com“ exfiltriert, was die koordinierte Natur der Operation zeigt.

Dieser Vorfall folgt auf ähnliche Kompromittierungen von JavaScript-Bibliotheken im Jahr 2025, darunter der Angriff im Juli auf „eslint-config-prettier“ mit 30 Millionen wöchentlichen Downloads und Kompromittierungen im März, die zehn beliebte NPM-Bibliotheken betrafen.

Der Beitrag „Largest supply chain attack in history targets crypto users through compromised JavaScript packages“ erschien zuerst auf CryptoSlate.