{"id":2165,"date":"2025-09-09T01:55:19","date_gmt":"2025-09-09T01:55:19","guid":{"rendered":"https:\/\/bitcoinnewscrypto.com\/de\/?p=2165"},"modified":"2025-09-09T01:55:19","modified_gmt":"2025-09-09T01:55:19","slug":"crypto-supply-chain-attack-npm-malware","status":"publish","type":"post","link":"https:\/\/bitcoinnewscrypto.com\/de\/news\/solana\/crypto-supply-chain-attack-npm-malware\/","title":{"rendered":"Krypto-Alarm: Neuer Cyberangriff stiehlt Gelder! Entwickler &#038; Nutzer in Gefahr!"},"content":{"rendered":"<p>Ein neuer Cyberangriff stiehlt Krypto von Nutzern, w\u00e4hrend sie Transaktionen senden, und viele Experten bezeichnen ihn als den gr\u00f6\u00dften Supply-Chain-Angriff der Geschichte. Hacker brachen mit Phishing-E-Mails in Konten von npm-Paket-Maintainern ein. Diese E-Mails sahen so aus, als k\u00e4men sie von &#8220;<a href=\"mailto:support@npmjs.help\">support@npmjs.help<\/a>&#8220;, wobei der echte npm-Registrierungsdienst kopiert wurde. Die Nachrichten teilten den Entwicklern mit, dass ihre Konten gesperrt w\u00fcrden, es sei denn, sie aktualisierten ihre Zwei-Faktor-Authentifizierung. Wenn Maintainer auf den Link klickten, erhielten Angreifer ihre Anmeldedaten und platzierten Malware in beliebte npm-Pakete.<\/p>\n\n<p>Achtzehn weit verbreitete JavaScript-Bibliotheken wurden kompromittiert, darunter chalk, debug und ansi-styles. Zusammen erhalten diese Pakete jede Woche Milliarden von Downloads und werden von Entwicklern auf der ganzen Welt verwendet. Das bedeutet, dass das gesamte JavaScript-\u00d6kosystem gef\u00e4hrdet sein k\u00f6nnte. BleepingComputer berichtete, dass Angreifer Code in diese Bibliotheken injizierten, der sich wie ein browserbasierter Abfangj\u00e4ger verhielt. Dieser Code \u00fcberwachte den Netzwerkverkehr und suchte nach Krypto-Transaktionen \u00fcber Bitcoin, Ethereum, Solana, Tron, Litecoin und Bitcoin Cash. Wenn jemand eine \u00dcberweisung sendete, ersetzte die Malware die echte Wallet-Adresse durch eine, die von den Hackern kontrolliert wurde, bevor die Transaktion signiert wurde.<\/p>\n\n<p>Der Sicherheitsforscher Charlie Eriksen erkl\u00e4rte, dass die Malware auf verschiedene Arten funktioniert. Sie \u00e4ndert, was auf Websites angezeigt wird, manipuliert API-Aufrufe und t\u00e4uscht Apps, damit sie Transaktionen signieren, die der Benutzer nicht beabsichtigt hat. Charles Guillemet, der CTO von Ledger, warnte, dass der Angriff noch aktiv ist und sagte, Krypto-Nutzer sollten vermeiden, On-Chain-Transaktionen durchzuf\u00fchren, wenn sie nur Software-Wallets verwenden. Benutzer von Hardware-Wallets k\u00f6nnen sich sch\u00fctzen, indem sie die Details vor dem Signieren \u00fcberpr\u00fcfen, aber jeder ohne Hardware-Wallet l\u00e4uft einem h\u00f6heren Risiko.<\/p>\n\n<p>Forscher stellten auch fest, dass die Phishing-Infrastruktur gestohlene Details an &#8220;websocket-api2.publicvm.com&#8221; sendete. Dies zeigt, dass der Angriff gut koordiniert war. Er folgt auf andere npm-Vorf\u00e4lle Anfang dieses Jahres, darunter einer im M\u00e4rz, der das ethers-Paket mit einer Reverse Shell patchte, und ein weiterer im Juli, der eslint-config-prettier ins Visier nahm. Die Kampagne entwickelt sich weiter, und dieses Mal verwendeten Angreifer Ethereum-Smart Contracts auf eine neue Art und Weise. Zwei npm-Pakete namens colortoolsv2 und mimelib2 versteckten b\u00f6sartige Befehle in Ethereum-Smart Contracts. Nach dem Herunterladen installierten die Pakete Malware der zweiten Stufe, wodurch die Erkennung erschwert wurde.<\/p>\n\n<p>Ethereum-Smart Contracts sind kleine Programme, die auf der Blockchain laufen. Sie sind \u00f6ffentlich und verhalten sich wie offene APIs. In diesem Fall nutzten Hacker sie, um Links zum Herunterladen der Malware zu speichern, so dass selbst wenn jemand das Paket \u00fcberpr\u00fcfte, er den gef\u00e4hrlichen Code m\u00f6glicherweise nicht sah. Diese kreative Methode der Befehls- und Kontrolle zeigt, wie sich Bedrohungsakteure anpassen, um eine Erkennung zu vermeiden.<\/p>\n\n<p>Die Angreifer versuchten auch, ihre GitHub-Repositories vertrauensw\u00fcrdig aussehen zu lassen. Sie erstellten gef\u00e4lschte Projekte wie solana-trading-bot-v2 und ethereum-mev-bot-v2. Diese hatten viele Sterne, Beobachter und Commits, aber das meiste davon war gef\u00e4lscht. Konten wurden zur gleichen Zeit erstellt, oft mit nur einer Datei, und automatisierte Commits erh\u00f6hten die Zahlen. Dieser Social-Engineering-Trick lie\u00df die Repositories f\u00fcr Entwickler, die die b\u00f6sartigen npm-Pakete m\u00f6glicherweise in ihre Arbeit einbeziehen, echt aussehen.<\/p>\n\n<p>Experten warnen, dass Supply-Chain-Angriffe besonders gef\u00e4hrlich sind, weil sie vertrauensw\u00fcrdige Tools angreifen. Durch das Verstecken von Malware in Open-Source-Bibliotheken k\u00f6nnen Hacker gleichzeitig Millionen von Entwicklern und Endbenutzern erreichen. Allein in diesem Jahr entdeckten Forscher mehr als zwanzig Kampagnen auf npm, GitHub und PyPI, die darauf abzielten, Krypto zu stehlen. Einige nutzten Infostealer, andere setzten Coin Miner ein, und viele verlie\u00dfen sich auf Phishing, um sensible Daten zu erfassen.<\/p>\n\n<p>Indicators of Compromise (IOCs) wie verd\u00e4chtige Domains, verschleierter Code und gef\u00e4lschte Repositories helfen Sicherheitsteams, diese Bedrohungen zu erkennen. Dennoch werden viele Benutzer erst dann etwas bemerken, wenn Gelder verschwunden sind. Im Moment m\u00fcssen Entwickler Pakete, Maintainer und Code vor der Verwendung sorgf\u00e4ltig \u00fcberpr\u00fcfen. Krypto-Nutzer sollten Hardware-Wallets in Betracht ziehen und vermeiden, gro\u00dfe \u00dcberweisungen vorzunehmen, bis die Bedrohung unter Kontrolle ist. Der Angriff zeigt, wie schnell sich Cyberkriminalit\u00e4t entwickelt und wie wichtig es ist, sowohl Software-Lieferketten als auch digitale Verm\u00f6genswerte zu sichern.<\/p>","protected":false},"excerpt":{"rendered":"<p>Ein neuer Cyberangriff stiehlt Krypto von Nutzern, w\u00e4hrend sie Transaktionen senden, und viele Experten bezeichnen ihn als den gr\u00f6\u00dften Supply-Chain-Angriff der Geschichte. Hacker brachen mit Phishing-E-Mails in Konten von npm-Paket-Maintainern&hellip;<\/p>\n","protected":false},"author":2,"featured_media":2166,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-solana"],"_links":{"self":[{"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/posts\/2165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/comments?post=2165"}],"version-history":[{"count":1,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/posts\/2165\/revisions"}],"predecessor-version":[{"id":2167,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/posts\/2165\/revisions\/2167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/media\/2166"}],"wp:attachment":[{"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/media?parent=2165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/categories?post=2165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/de\/wp-json\/wp\/v2\/tags?post=2165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}