Cyberkriminelle haben zwei bösartige npm-Pakete entwickelt - colortoolsv2 und mimelib2 - die Entwickler-Umgebungen angreifen, indem sie Smart Contracts der Ethereum-Blockchain als Tarnmechanismus nutzen. Diese ausgefeilte Methode ermöglicht den Download schädlicher Software auf ungeahnte Weise.
Die in Juli 2025 hochgeladenen npm-Pakete nutzen Ethereum-Smart-Contracts, um die URLs für Downloader-Malware zu verbergen. Bei der Nutzung innerhalb eines Projekts laden sie über diese Blockchain-Links Schadsoftware nach. Die Kampagne nutzt gezielte GitHub-Repositories und manipulierte Popularitätstaktiken, um Entwickler zu ködern. Aufgrund rascher Identifizierung der Sicherheitslücken hielt sich der entstandene Gesamtschaden in Grenzen, wie Hackernews berichtete .
Wie funktionierte der Angriff?
Sobald eines der Pakete (colortoolsv2 oder mimelib2) in einem Projekt eingebunden wird, aktiviert ein verschleierter Code einen Smart Contract auf der Ethereum-Blockchain, der die Adresse des nächsten Schadsoftware-Ladeorts enthält. Diese Methode - bekannt als „EtherHiding“ - versteckt den bösartigen Befehl geschickt vor traditionellen Scans. Die GitHub-Repositories, die diese Pakete verwendeten, gaben sich als legitime Trading-Bot-Projekte aus. Dahinter steckte ein Netzwerk (Stargazers Ghost Network), dessen gefälschte Accounts Repository-Zahlen manipulierten, um Vertrauen zu gewinnen.
Diese Cyberangriffe erfolgen über sogenannte Supply-Chain-Attacken: bösartige Pakete werden indirekt über populäre Repositories verbreitet. Entwickler sollten daher Bibliotheken vor der Nutzung sorgfältig prüfen - insbesondere deren Herkunft, Maintainer und Code. Tools zur Analyse von Abhängigkeiten, Ketten und Smart Contract Aktivitäten können hier entscheidend Schutz bieten.
Was bedeutet das für Entwickler?
Die Kombination aus Open-Source-Ökosystem und Blockchain-Technologie macht diesen Angriff besonders gefährlich. Während klassische Supply-Chain-Attacken oft auf manipulierte Bibliotheken setzen, bringt die Nutzung von Ethereum-Smart-Contracts eine zusätzliche Ebene der Verschleierung. Dadurch wird es für Sicherheitstools deutlich schwerer, die bösartige Aktivität frühzeitig zu erkennen.
Sicherheitsforscher fordern deshalb verstärkte Zusammenarbeit zwischen Plattformen wie npm, GitHub und Blockchain-Analysten. Nur wenn bösartige Pakete schneller gemeldet, gesperrt und deren Smart Contract Infrastruktur enttarnt wird, lässt sich der Schaden begrenzen. Gleichzeitig mahnen Experten Entwickler, ihre Abhängigkeiten kontinuierlich zu überwachen und automatisierte Scans in die CI/CD-Pipelines zu integrieren.
