3 Minuten
Massiver NPM-Verstoß injiziert Malware in beliebte JavaScript-Bibliotheken
Sicherheitsforscher haben einen großangelegten Supply-Chain-Angriff auf Node Package Manager (NPM)-Pakete verfolgt, bei dem Malware in weit verbreitete JavaScript-Bibliotheken eingeschleust wurde. Die manipulierten Pakete, die als tiefe Abhängigkeiten in zahllosen Projekten vorkommen, wurden entdeckt, nachdem Sicherheitsteams eine auf Krypto ausgerichtete Nutzlast identifiziert hatten, die darauf abzielte, Gelder aus Ethereum- und Solana-Wallets umzuleiten.
Die Krypto-Intelligence-Firma Security Alliance analysierte den Vorfall und kam zu dem Schluss, dass es sich um eine der umfangreichsten beobachteten NPM-Komponentenkompromittierungen handelt — die betroffenen Pakete haben zusammen Milliarden von Downloads — doch bislang bleiben die Verluste für das Krypto-Ökosystem vernachlässigbar.
Bisher nur geringer Krypto-Diebstahl – aber enorme Exposition
Trotz des Ausmaßes des Verstoßes berichtete Security Alliance, dass Angreifer insgesamt weniger als 50 US-Dollar gestohlen haben. Der Bericht identifizierte eine vermutlich bösartige Ethereum-Adresse, "0xFc4a48", die eine geringe Menge Ether und einige Memecoins erhalten hat. Frühere Telemetrie zeigte kurzzeitig nur fünf Cent in gestohlenem ETH, bevor der Betrag auf etwa 50 US-Dollar anstieg, was darauf hindeutet, dass sich der Vorfall noch entwickelte, als Forscher ihre ersten Erkenntnisse veröffentlichten.
Sicherheitsforscher Samczsun, der unter dem Alias SEAL arbeitet, sagte Reportern, der Eindringling habe den erhaltenen Zugriff nicht vollständig ausgenutzt. "Es ist, als würde man die Schlüsselkarte zu Fort Knox finden und sie als Lesezeichen benutzen", sagte er und wies darauf hin, dass die Malware größtenteils von Verteidigern neutralisiert worden sei.
Welche Pakete und Projekte waren betroffen?
Die Kompromittierung zielte auf Utility-Module ab, die weit verbreitet in Abhängigkeitsbäumen eingebettet sind — Pakete wie chalk, strip-ansi und color-convert. Da diese Module oft indirekt eingebunden werden, konnten viele Entwicklerumgebungen und Produktions-Builds exponiert sein, selbst wenn Teams diese Pakete nie direkt installiert hatten.
Die Analyse zeigt, dass die Angreifer eine Crypto-Clipper-Nutzlast einsetzten: Malware, die heimlich legitime Wallet-Adressen in der Zwischenablage eines Opfers durch angreiferkontrollierte Adressen ersetzt, sobald eine On-Chain-Transaktion bestätigt wird, und so Gelder bei der Einreichung einer Transaktion umleitet.
Wichtige Wallet-Anbieter melden keine Auswirkungen
Mehrere große Krypto-Wallets und Plattformen meldeten, dass sie nicht betroffen seien. Ledger und MetaMask gaben an, dass ihre Abwehrmaßnahmen eine Ausnutzung verhindert hätten und verwiesen auf mehrere Sicherheitsebenen. Phantom Wallet erklärte, die verwundbaren Paketversionen nicht zu verwenden, und Uniswap bestätigte, dass seine Apps nicht gefährdet waren. Weitere Plattformen wie Aerodrome, Blast, Blockstream Jade und Revoke.cash berichteten ebenfalls von keiner Exposition.
Was Nutzer und Entwickler jetzt tun sollten
Sicherheitsexperten raten Entwicklern, ihre Abhängigkeitsbäume zu prüfen, kompromittierte Zugangsdaten zurückzuziehen und zu rotieren sowie betroffene NPM-Pakete zu entfernen oder zu aktualisieren. Endnutzer sollten beim Bestätigen von On-Chain-Transaktionen vorsichtig sein und in Erwägung ziehen, Wallet-Interaktionen mit dApps zu vermeiden, bis Entwickler bestätigt haben, dass Pakete bereinigt wurden. Wie ein pseudonymer Gründer der DeFi-Analysefirma DefiLlama anmerkte, sind vermutlich nur Projekte gefährdet, die nach Veröffentlichung der bösartigen Pakete ein Update durchgeführt haben und bei denen Nutzer eine bösartige Transaktion bestätigt haben.
Obwohl dieser Vorfall das systemische Risiko von Supply-Chain-Angriffen im JavaScript-Ökosystem verdeutlicht, hielten schnelle Erkennung und koordinierte Reaktionen die Krypto-Verluste minimal. Anhaltende Wachsamkeit in Bezug auf Abhängigkeits-Hygiene, Integritätsprüfungen von Paketen und eine sichere Wallet-Bestätigungs-UX bleibt essenziell für die Blockchain-Sicherheit und zum Schutz von Krypto-Wallets vor zukünftigen NPM-Angriffen.
Quelle: cointelegraph
Kommentare