Ein neuer Cyberangriff stiehlt Krypto von Nutzern, während sie Transaktionen senden, und viele Experten bezeichnen ihn als den größten Supply-Chain-Angriff der Geschichte. Hacker brachen mit Phishing-E-Mails in Konten von npm-Paket-Maintainern ein. Diese E-Mails sahen so aus, als kämen sie von “[email protected]“, wobei der echte npm-Registrierungsdienst kopiert wurde. Die Nachrichten teilten den Entwicklern mit, dass ihre Konten gesperrt würden, es sei denn, sie aktualisierten ihre Zwei-Faktor-Authentifizierung. Wenn Maintainer auf den Link klickten, erhielten Angreifer ihre Anmeldedaten und platzierten Malware in beliebte npm-Pakete.
Achtzehn weit verbreitete JavaScript-Bibliotheken wurden kompromittiert, darunter chalk, debug und ansi-styles. Zusammen erhalten diese Pakete jede Woche Milliarden von Downloads und werden von Entwicklern auf der ganzen Welt verwendet. Das bedeutet, dass das gesamte JavaScript-Ökosystem gefährdet sein könnte. BleepingComputer berichtete, dass Angreifer Code in diese Bibliotheken injizierten, der sich wie ein browserbasierter Abfangjäger verhielt. Dieser Code überwachte den Netzwerkverkehr und suchte nach Krypto-Transaktionen über Bitcoin, Ethereum, Solana, Tron, Litecoin und Bitcoin Cash. Wenn jemand eine Überweisung sendete, ersetzte die Malware die echte Wallet-Adresse durch eine, die von den Hackern kontrolliert wurde, bevor die Transaktion signiert wurde.
Der Sicherheitsforscher Charlie Eriksen erklärte, dass die Malware auf verschiedene Arten funktioniert. Sie ändert, was auf Websites angezeigt wird, manipuliert API-Aufrufe und täuscht Apps, damit sie Transaktionen signieren, die der Benutzer nicht beabsichtigt hat. Charles Guillemet, der CTO von Ledger, warnte, dass der Angriff noch aktiv ist und sagte, Krypto-Nutzer sollten vermeiden, On-Chain-Transaktionen durchzuführen, wenn sie nur Software-Wallets verwenden. Benutzer von Hardware-Wallets können sich schützen, indem sie die Details vor dem Signieren überprüfen, aber jeder ohne Hardware-Wallet läuft einem höheren Risiko.
Forscher stellten auch fest, dass die Phishing-Infrastruktur gestohlene Details an “websocket-api2.publicvm.com” sendete. Dies zeigt, dass der Angriff gut koordiniert war. Er folgt auf andere npm-Vorfälle Anfang dieses Jahres, darunter einer im März, der das ethers-Paket mit einer Reverse Shell patchte, und ein weiterer im Juli, der eslint-config-prettier ins Visier nahm. Die Kampagne entwickelt sich weiter, und dieses Mal verwendeten Angreifer Ethereum-Smart Contracts auf eine neue Art und Weise. Zwei npm-Pakete namens colortoolsv2 und mimelib2 versteckten bösartige Befehle in Ethereum-Smart Contracts. Nach dem Herunterladen installierten die Pakete Malware der zweiten Stufe, wodurch die Erkennung erschwert wurde.
Ethereum-Smart Contracts sind kleine Programme, die auf der Blockchain laufen. Sie sind öffentlich und verhalten sich wie offene APIs. In diesem Fall nutzten Hacker sie, um Links zum Herunterladen der Malware zu speichern, so dass selbst wenn jemand das Paket überprüfte, er den gefährlichen Code möglicherweise nicht sah. Diese kreative Methode der Befehls- und Kontrolle zeigt, wie sich Bedrohungsakteure anpassen, um eine Erkennung zu vermeiden.
Die Angreifer versuchten auch, ihre GitHub-Repositories vertrauenswürdig aussehen zu lassen. Sie erstellten gefälschte Projekte wie solana-trading-bot-v2 und ethereum-mev-bot-v2. Diese hatten viele Sterne, Beobachter und Commits, aber das meiste davon war gefälscht. Konten wurden zur gleichen Zeit erstellt, oft mit nur einer Datei, und automatisierte Commits erhöhten die Zahlen. Dieser Social-Engineering-Trick ließ die Repositories für Entwickler, die die bösartigen npm-Pakete möglicherweise in ihre Arbeit einbeziehen, echt aussehen.
Experten warnen, dass Supply-Chain-Angriffe besonders gefährlich sind, weil sie vertrauenswürdige Tools angreifen. Durch das Verstecken von Malware in Open-Source-Bibliotheken können Hacker gleichzeitig Millionen von Entwicklern und Endbenutzern erreichen. Allein in diesem Jahr entdeckten Forscher mehr als zwanzig Kampagnen auf npm, GitHub und PyPI, die darauf abzielten, Krypto zu stehlen. Einige nutzten Infostealer, andere setzten Coin Miner ein, und viele verließen sich auf Phishing, um sensible Daten zu erfassen.
Indicators of Compromise (IOCs) wie verdächtige Domains, verschleierter Code und gefälschte Repositories helfen Sicherheitsteams, diese Bedrohungen zu erkennen. Dennoch werden viele Benutzer erst dann etwas bemerken, wenn Gelder verschwunden sind. Im Moment müssen Entwickler Pakete, Maintainer und Code vor der Verwendung sorgfältig überprüfen. Krypto-Nutzer sollten Hardware-Wallets in Betracht ziehen und vermeiden, große Überweisungen vorzunehmen, bis die Bedrohung unter Kontrolle ist. Der Angriff zeigt, wie schnell sich Cyberkriminalität entwickelt und wie wichtig es ist, sowohl Software-Lieferketten als auch digitale Vermögenswerte zu sichern.
