Ein gezielter Angriff trifft das JavaScript-Ökosystem über häufig verwendete NPM-Module. Durch die Kompromittierung des Kontos eines renommierten Entwicklers injizieren die Angreifer eine Malware, die in der Lage ist, Krypto-Empfangsadressen spontan zu ändern, wodurch die Nutzer bei On-Chain-Transaktionen einem hohen Diebstahlrisiko ausgesetzt sind.
Was ist los? Eine Malware entwendet Ihre Krypto-Adressen
Ein Angriff auf die Lieferkette, d. h. auf die von Entwicklern verwendeten Komponenten, Bibliotheken, Tools und Dienste, von bisher ungekanntem Ausmaß trifft derzeit das gesamte JavaScript-Ökosystem und damit auch das der Kryptowährungen.
Tatsächlich wurde kürzlich das NPM-Konto des Entwicklers „qix”, der zahlreiche beliebte Bibliotheken verwaltet, kompromittiert.
Das Ergebnis: Es wurden bösartige Versionen für häufig verwendete Pakete (kleine wiederverwendbare Codemodule) wie „chalk”, „strip-ansi”, „color-convert”, „error-ex” oder „is-core-module” veröffentlicht.
Mit mehreren hundert Millionen Downloads pro Woche sind diese Pakete mittlerweile im Node.js-Ökosystem weit verbreitet und betreffen Tausende von Projekten.
🚨 Es findet derzeit ein groß angelegter Angriff auf die Lieferkette statt: Das NPM-Konto eines renommierten Entwicklers wurde kompromittiert. Die betroffenen Pakete wurden bereits über 1 Milliarde Mal heruntergeladen, was bedeutet, dass das gesamte JavaScript-Ökosystem gefährdet sein könnte.
Die bösartige Nutzlast funktioniert…
— Charles Guillemet (@P3b7_) 8. September 2025
Auch wenn die Situation auf den ersten Blick katastrophal erscheint, betrifft dieser Angriff nur Websites, die nach der Kompromittierung des betreffenden NPM-Pakets ein Update veröffentlicht haben. Projekte, die das Update noch nicht durchgeführt haben, verwenden weiterhin die alte, nicht kompromittierte Version.
Bei der injizierten Malware handelt es sich um einen ausgeklügelten „Crypto-Clipper”:
- Er fängt Ihre Netzwerkanfragen und Kryptotransaktionen ab;
- Sie erkennt Bitcoin-, Ethereum-, Solana-Adressen usw. in den Daten
- und ersetzt sie unbemerkt durch die Adressen des Angreifers.
Das bedeutet, dass selbst wenn Sie glauben, Geld an eine legitime Adresse zu senden, die Malware diese in Ihrem Browser oder Telefon in letzter Sekunde ändern kann.
Der Code wirkt auf mehreren Ebenen: Er manipuliert sowohl die auf Websites angezeigten Inhalte als auch die Antworten der APIs und das, was Ihre Anwendungen zu signieren glauben. Dies macht den Angriff besonders gefährlich für diejenigen, die keine Hardware-Wallet verwenden.
Wie können Sie sich schützen?
Wenn Sie eine Hardware-Wallet (Ledger, Trezor usw.) verwenden: Sie sind geschützt, solange Sie vor der Signatur sorgfältig überprüfen, ob die Adresse auf dem Bildschirm der Wallet (und nicht auf Ihrem Telefon oder Computer) korrekt ist.
Wenn Sie eine Software-Wallet verwenden oder sogar mit Smart Contracts interagieren: Unterbrechen Sie sofort alle On-Chain-Transaktionen.
Es ist besser, zu warten, bis die Situation wieder unter Kontrolle ist, bevor Sie Ihre Aktivitäten wieder aufnehmen.
Ein Partner von SwissBorg hat gerade einen Vorfall erlebt, der zum Verlust von 193.000 SOL geführt hat.
Obwohl wir noch nicht wissen können, ob diese beiden Vorfälle miteinander in Verbindung stehen, hat die Handelsplattform SwissBorg kürzlich erklärt, eine Schwachstelle im Zusammenhang mit der API ihres Partners Kiln identifiziert zu haben, die sich auf ihr „SOL Earn”-Programm mit etwa 193.000 SOL auswirkt, was weniger als 1 % ihrer Nutzer entspricht.
Nach Angaben des Unternehmens bleibt die Anwendung sicher und nutzbar. SwissBorg hat sofort seine SOL-Liquidität mobilisiert, um die Verluste auszugleichen, und soll bereits begonnen haben, mit Cybersicherheitsexperten zusammenzuarbeiten, um die gestohlenen Gelder zurückzuerhalten. Die betroffenen Nutzer sollen in Kürze per E-Mail benachrichtigt werden.
