Anfang September 2025 wurde die JavaScript-Welt mit einem der gefährlichsten Angriffe der letzten Jahre konfrontiert. Angreifer erhielten Zugriff auf das Konto eines bekannten Entwicklers und luden auf NPM neue Versionen von Basis-Paketen hoch, die bösartigen Code enthielten. Diese Pakete werden jede Woche Milliarden Mal verwendet, und der Angriff hätte zu einem massiven Diebstahl von Nutzern von Kryptowährungsdiensten führen können.
Glücklicherweise war der Schaden aufgrund von Fehlern der Hacker und der schnellen Reaktion der Community minimal. Die Redaktion von Quickex rekonstruierte die Ereignisse chronologisch und untersuchte, warum alles relativ glimpflich ausging.
Verfolgen Sie, wie sich der Bitcoin-Kurs bei Markterschütterungen mit Quickex entwickelt.
Wie sich der Angriff entwickelte
Der Erste, der berichtete, was am Abend des 8. September geschah, war Charles Guillaume, CTO von Ledger. Er warnte, dass das Konto eines bekannten Entwicklers kompromittiert worden sei und dass infizierte Versionen von Tools wie chalk, debug, ansi-styles und strip-ansi auf NPM hochgeladen worden seien. Diese Pakete bilden die Grundlage der meisten Webanwendungen, weshalb die Infektion das gesamte Ökosystem bedrohte.
Später stellte sich heraus, dass die Hacker über eine Phishing-E-Mail Zugang zum Konto erhalten hatten. Diese imitierte eine Nachricht vom NPM-Support und führte auf eine gefälschte Login-Seite.
NPM (Node Package Manager) ist der größte Katalog für JavaScript-Pakete, in dem Entwickler fertige Code-Module veröffentlichen und herunterladen. Chalk dient zum farbigen Formatieren von Text, debug zum Logging und ansi-styles sowie strip-ansi zur Arbeit mit Konsolensteuerzeichen. Als die Angreifer die neuen Versionen veröffentlichten, wurden diese automatisch in Projekte installiert, wenn Entwickler nicht ältere Versionen fixiert hatten.
Als die Nachrichten über den Angriff bekannt wurden, beeilten sich Krypto-Projekte, in ihren sozialen Netzwerken mitzuteilen, dass der Vorfall sie nicht betroffen habe.
Wie der bösartige Code funktionierte
Das eingebettete Programm agierte wie ein Crypto-Clipper – eine Art Angriff, bei dem die Wallet-Adresse in einer Transaktion ausgetauscht wird. Der Benutzer glaubt, Geld auf sein eigenes Konto oder an einen Bekannten zu senden, tatsächlich aber geht es an die Adresse des Angreifers.
StarPlatinum erklärte die Mechanik ausführlich. Seinen Angaben zufolge hatte der Code zwei Modi.
- Im „passiven“ Modus ersetzte er Adressen direkt in den Benutzeroberflächen der Anwendungen.
- Im „aktiven“ Modus fing er Transaktionen vor der Signatur ab und änderte die Zielangaben.
Zur Tarnung wurde der Levenshtein-Algorithmus verwendet, der die ähnlichsten Zeichenketten auswählte: Die ersten und letzten Zeichen der Adresse stimmten überein, wodurch der Austausch nahezu unbemerkt blieb.
Er nannte auch konkrete Konten, auf die die gestohlenen Gelder fließen sollten: das Hauptkonto 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 und mehrere Reserveadressen.
Zum Zeitpunkt des Blog-Beitrags waren Überweisungen an diese Wallets aufgezeichnet worden, aber die Gelder blieben unbewegt.
Entwickler erfuhren erstmals von dem Problem, als automatische Builds fehlschlugen. In den Logs erschienen ungewöhnliche Fehler wie „fetch is not defined“. Eine Überprüfung zeigte obfuskierten Code und verdächtige Funktionen im Zusammenhang mit Ethereum und Solana.
Warum der Schaden minimal blieb
Obwohl die Idee des Angriffs gefährlich aussah, funktionierte er in der Praxis nicht. Der Code war zu instabil und störte die Build-Prozesse. Dadurch konnte die Community die Anomalien schnell bemerken und die infizierten Versionen blockieren.
Charles Guillaume stellte später klar, dass der Angriff de facto gescheitert sei: Es habe nur sehr wenige Opfer gegeben. Seinen Angaben zufolge zielte der bösartige Code auf Krypto-Operationen ab und ersetzte Adressen direkt in Netzwerkantworten, aber aufgrund von Fehlern der Hacker-Entwickler löste er unvorhersehbar aus.
Arkham schätzte, dass die Angreifer nur 159 US-Dollar stehlen konnten. Dieses Geld gelangte auf die Wallets, die in den Ledger-Berichten aufgeführt waren. Der Betrag ist im Vergleich zum potenziellen Risiko vernachlässigbar, doch der Vorfall zeigte, wie nah das Ökosystem an einer ernsthaften Krise war.
Kontostand der Krypto-Wallet der Betrüger laut Arkham
Die Rolle von Hardware-Wallets
Am stärksten gefährdet waren Nutzer von Software-Wallets, die Transaktionen direkt im Browser signieren. Dort konnte der Adressaustausch fast unbemerkt erfolgen. Ganz anders sah die Situation für diejenigen aus, die Hardware-Geräte zur Aufbewahrung von Schlüsseln nutzten.
Ein Hardware-Wallet zeigt dem Nutzer alle Transaktionsdaten auf dem eigenen Bildschirm an, und die Bestätigung erfolgt über eine physische Taste. Selbst wenn eine Anwendung die Adresse austauschte, zeigte das Gerät den tatsächlichen Empfänger. Ein aufmerksamer Nutzer bemerkte die Abweichung sofort und brach die Signatur ab.
Nach Angaben von Guillaume machen Funktionen wie Clear Signing und integrierte Transaktionsprüfungen Hardware-Lösungen zu einer wichtigen Barriere gegen derartige Angriffe.
Eine Lehre für die Krypto-Community
Diese Geschichte erinnert daran, dass die Anfälligkeit der Lieferkette das größte Risiko für die Branche bleibt. Schon die Kompromittierung eines einzigen Entwicklerkontos kann Millionen von Nutzern weltweit gefährden.
Aus der gesamten Situation lassen sich drei Hauptlehren ziehen:
- Entwickler sollten Versionsstände von Abhängigkeiten fixieren, reproduzierbare Builds verwenden und Updates grundlegender Tools sorgfältig prüfen.
- Krypto-Besitzer sollten Vermögenswerte in Hardware-Wallets aufbewahren und Adressen auf dem Gerätescreen vor jeder Signatur genau überprüfen.
Entwicklerkonten im NPM-Ökosystem müssen mit Sicherheitsschlüsseln und Multi-Faktor-Authentifizierung geschützt werden, damit Phishing nicht zu einer Kompromittierung führt.
Fazit
Der Angriff auf NPM zeigte, wie fragil die gesamte Infrastruktur sein kann: Milliarden von Installationen hingen von einem einzigen Konto ab. Dieses Mal war der Schaden auf 159 US-Dollar begrenzt, aber beim nächsten Mal könnte es anders sein.
Glück und die Fehler der Angreifer ersetzen keine systematische Sicherheit. Deshalb sollten sowohl Entwickler als auch Nutzer Maßnahmen ergreifen, damit neue Angriffe sie nicht unvorbereitet treffen.
Finden Sie den besten Krypto-Wechselkurs bei Quickex.