Ledger-CTO warnt Nutzer vor NPM-Lieferkettenangriff, der die Krypto-Sicherheit bedroht

Ein groß angelegter Supply-Chain-Angriff hat die Open-Source-Community erschüttert, nachdem Hacker das Node Package Manager (NPM)-Konto eines renommierten Entwicklers kompromittiert haben. Weit verbreitete Pakete waren betroffen, was zu erheblichen Bedenken im gesamten JavaScript-Ökosystem führte.

NPM-Verletzung wirft Bedenken hinsichtlich Wallet-Sicherheit auf

Charles Guillemet, Chief Technology Officer bei Ledger, offenbarte das Ausmaß der Bedrohung. Er berichtete, dass ein bedeutendes NPM-Konto gehackt wurde und die betroffenen Pakete bereits über 1.1 billions Mal heruntergeladen wurden. Angesichts dieser Reichweite sagte er, dass das gesamte JavaScript-Ökosystem gefährdet sein könnte. Der bösartige Code arbeitete unauffällig und ersetzte in Echtzeit Krypto-Adressen, um Gelder an die Angreifer umzuleiten.

Guillemet mahnte zur Vorsicht. Er erklärte, dass Nutzer von Hardware-Wallets sicher bleiben, wenn sie jede Transaktion sorgfältig vor der Freigabe überprüfen. Für diejenigen, die auf Software-Wallets angewiesen sind, empfahl er, On-Chain-Transaktionen zu vermeiden, bis die Situation klarer ist. Er merkte auch an, dass noch unklar ist, ob die Angreifer direkt versuchen, Recovery Seeds aus Software-Wallets zu extrahieren.

Entwickler bestätigt Kontoübernahme

Der Maintainer im Zentrum des Angriffs, Josh Junon, bestätigte, dass sein NPM-Konto kompromittiert wurde. In einem Beitrag auf Bluesky erklärte er, dass die Übernahme das Ergebnis einer Phishing-Kampagne war. Die Angreifer hatten eine gefälschte Domain eingerichtet, ‘support [at] npmjs [dot]’ help, die der offiziellen Seite npmjs.com ähnelte.

Maintainer erhielten bedrohliche E-Mails, in denen behauptet wurde, ihre Konten würden am 10. September 2025 gesperrt. Diese Nachrichten enthielten Links, die auf Phishing-Seiten weiterleiteten, die darauf ausgelegt waren, Zugangsdaten zu stehlen. Die gefälschte E-Mail behauptete:

Um die Sicherheit und Integrität Ihres Kontos zu gewährleisten, bitten wir Sie, dieses Update so bald wie möglich durchzuführen. Bitte beachten Sie, dass Konten mit veralteten 2FA-Anmeldedaten ab dem 10. September 2025 vorübergehend gesperrt werden, um unbefugten Zugriff zu verhindern.

Weitere Entwickler berichteten bald, auf die gleiche Weise ins Visier genommen worden zu sein, was bestätigte, dass die Phishing-Kampagne über einen einzelnen Maintainer hinausging.

Reaktion auf den NPM-Angriff und technische Analyse

Das NPM-Team handelte schnell, sobald der Angriff entdeckt wurde, und entfernte die von den Angreifern hochgeladenen bösartigen Versionen. Unter den entfernten Paketen war auch eine Version des Debug-Pakets, das jede Woche hunderte Millionen Male heruntergeladen wird – geschätzt etwa 357 Millionen Mal.

Eine weitere Analyse wurde von Aikido Security durchgeführt, und die Untersuchung ergab Folgendes:

• Angreifer fügten bösartigen Code in index.js-Dateien der übernommenen Pakete ein. Dieser fungierte als Browser-Interceptor, kapere den Datenverkehr und zielte auf Krypto-Nutzer ab.
• Die Malware wurde in Browser eingebettet und hakte sich in Funktionen wie fetch, XMLHttpRequest und Wallet-APIs wie window.ethereum und Solana ein, wodurch sie Zugriff auf Web- und Wallet-Aktivitäten erhielt.
• Nach der Aktivierung scannte sie Daten nach Wallet-Adressen von Ethereum, Bitcoin, Solana, Tron, Litecoin und Bitcoin Cash. Erkannte Adressen wurden durch von Angreifern kontrollierte ersetzt, die oft ähnlich aussahen.
• Sie veränderte Transaktionsdetails vor der Signierung, indem Empfänger, Freigaben oder Berechtigungen geändert wurden, während die Benutzeroberfläche normal erschien, sodass Gelder an die Angreifer gesendet wurden.
• Um unentdeckt zu bleiben, vermied sie sichtbare Änderungen, wenn eine Wallet vorhanden war, und lief stattdessen unauffällig im Hintergrund, um echte Transaktionen zu manipulieren.

Appell zu stärkeren Vorsichtsmaßnahmen

In Kommentaren gegenüber CoinDesk warnte Guillemet, dass dezentrale Anwendungen oder Software-Wallets, die die kompromittierten Pakete enthalten, möglicherweise nicht sicher sind und Krypto-Nutzer dem Risiko eines Geldverlusts aussetzen. Er betonte, dass der zuverlässigste Schutz eine Hardware-Wallet mit sicherem Display ist, die Clear Signing unterstützt.

Dieser Ansatz ermöglicht es Nutzern, die Adresse und Details jeder Transaktion direkt auf dem Bildschirm des Geräts zu überprüfen und so sicherzustellen, dass das, was sie genehmigen, auch ihrer Absicht entspricht.

Er fügte hinzu, dass die Situation eine starke Erinnerung an grundlegende Praktiken sei: „Überprüfen Sie immer Ihre Transaktionen, unterschreiben Sie niemals blind.“ Er empfahl außerdem die Verwendung einer Hardware-Wallet mit sicherem Display, um die Sicherheit zu gewährleisten.