Die Open-Source-Welt steht unter Schock, denn Anfang September ist es Angreifern gelungen, die Zugangsdaten eines bekannten Entwicklers im NPM-Ökosystem zu übernehmen und manipulierte Versionen weitverbreiteter Bibliotheken zu veröffentlichen. Betroffen sind unter anderem „chalk“, „strip-ansi“ und „color-convert“, die zusammengenommen mehr als zwei Milliarden Mal pro Woche heruntergeladen werden. Diese kleinen Bausteine sind tief in den Abhängigkeitsbäumen unzähliger Anwendungen und Webseiten vergraben, sodass selbst Projekte, die sie nicht bewusst einsetzen, indirekt in Mitleidenschaft gezogen werden können.
In den präparierten Versionen versteckte sich eine sogenannte Clipper-Malware, die Wallet-Adressen während Transaktionen austauscht. Besonders gefährdet sind Anwender von Software-Wallets, weil sie die manipulierten Adressen in der Oberfläche ihrer Anwendung nicht unbedingt bemerken. Wer hingegen eine Hardware-Wallet nutzt und jede Transaktion manuell bestätigt, hat einen klaren Vorteil, da er den Adressentausch im Display sofort erkennen kann. Voraussetzung dafür ist jedoch, dass der Anwender die Adressen vollständig prüft. Der Angriff zielt also nicht auf eine direkte Leerung von Wallets, sondern auf eine subtile Manipulation, die im entscheidenden Moment den falschen Zahlungsempfänger einblendet.
Starte jetzt mit OKX und sichere dir als Neukunde bis zu 40 USDC für deine ersten Trades! Ob Spot- oder Bot-Handel – dein Volumen zählt. Zusätzlich wartet ab 1.000 Teilnehmern ein geteilter 10.000 USDC Preispool. Aktion gültig vom 16.08.–30.09.2025, Teilnahmebedingungen gelten.
👉 Hier klicken, anmelden und mit dem Rabattcode BITCOINKURIER20 lebenslang 20 % Gebühren sparen!
Die Kompromittierung der Entwicklerkonten gelang über eine täuschend echte Phishing-Kampagne. Angreifer gaben sich als NPM-Support aus und forderten Paket-Maintainer dazu auf, angeblich ablaufende Zwei-Faktor-Authentifizierungen bis zum 10. September zu erneuern. Über eine gefälschte Webseite sammelten sie die Zugangsdaten ein und konnten so schädliche Versionen der Bibliotheken veröffentlichen. Das Ausmaß des potenziellen Schadens ist immens, doch bislang scheinen keine größeren Summen gestohlen worden zu sein. Dieser Widerspruch zwischen theoretischer Bedrohung und realem Schaden zeigt, dass die Angreifer zwar über enorme Reichweite verfügten, aber nur begrenzt Erfolg hatten – sei es durch schnelles Eingreifen der Entwicklergemeinschaft oder durch ungeschickte Umsetzung.
Für Anwender stellt sich nun die Frage, wie groß die Gefahr im Einzelfall ist. Entscheidend ist, ob eine Webseite oder Anwendung nach Veröffentlichung der kompromittierten Pakete ein Update eingespielt hat. Viele Projekte verwenden feste Abhängigkeitsversionen, wodurch sie von dem Angriff verschont geblieben sein dürften. Dennoch können Nutzer von außen kaum erkennen, ob eine Plattform betroffen war oder nicht. Darum mahnen Sicherheitsexperten zur Vorsicht. Wer Transaktionen über Webseiten durchführt, die auf JavaScript-Bibliotheken setzen, sollte im Moment Zurückhaltung üben. Besonders riskant ist es, wenn man ausschließlich auf Software-Wallets vertraut.
Wie kann man sich jetzt schützen?
Um sich unmittelbar vor dem Verlust von Kryptowährungen zu schützen, sollten folgenden Schritte befolgt werden:
- Transaktionen aufschieben: Wer nicht unbedingt handeln muss, sollte vorerst abwarten, bis Entwickler Entwarnung geben und die betroffenen Bibliotheken bereinigt sind.
- Hardware-Wallet einsetzen: Wer Transaktionen durchführen muss, sollte unbedingt eine Hardware-Wallet nutzen. Nur hier lässt sich die tatsächliche Zieladresse direkt auf dem Gerät prüfen.
- Details genau kontrollieren: Nutzer von Hard- und Software-Wallets sollten jede angezeigte Adresse und jeden Betrag sehr sorgfältig prüfen, bevor sie eine Transaktion freigeben.
- Entwickler sollten Dependencies prüfen: Projekte, die auf NPM-Pakete setzen, müssen ihre Abhängigkeiten auf sichere Versionen zurücksetzen und künftig fixieren, um Manipulationen zu verhindern.
