Krypto-stehlende Malware infiltriert zentrale JavaScript-Bibliotheken, die von Millionen genutzt werden
Das NPM (Node Packet Manager) Konto des Entwicklers ‘qix’ wurde kompromittiert, wodurch Hacker in der Lage waren, bösartige Versionen seiner Pakete zu veröffentlichen.
Die Angreifer veröffentlichten bösartige Versionen Dutzender extrem populärer JavaScript-Pakete, einschließlich grundlegender Dienstprogramme. Der Umfang des Hacks war immens, da die betroffenen Pakete zusammen mehr als 1 Milliarde wöchentlich heruntergeladen werden.
Dieser Angriff auf die Softwarelieferkette zielt speziell auf das JavaScript/Node.js-Ökosystem ab.
NPM Supply Chain Attack
Popular dev qix fell victim to phishing. Malicious code injected into npm packages now hijacks crypto transactions at signing.
Attack method:
• Hooks wallet functions (request/send)
• Swaps recipient addresses in ETH/SOL transactions
• Replaces… pic.twitter.com/Jn9H4HWP8v— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) September 8, 2025
Die bösartige Software war ein „Crypto-Clipper“, der dazu entwickelt wurde, Kryptowährungen zu stehlen, indem er Wallet-Adressen in Netzwerk-Anfragen austauscht und Kryptotransaktionen direkt kapert. Die Software war stark verschleiert, um nicht erkannt zu werden.
Die Krypto-stehlende Malware hat zwei Angriffsvektoren. Wenn keine Krypto-Wallet-Erweiterung gefunden wird, fängt die Malware den gesamten Netzwerkverkehr ab, indem sie die nativen Fetch- und HTTP-Anfrage-Funktionen des Browsers durch umfassende Listen von angreifer-eigenen Wallet-Adressen ersetzt.
Durch den Einsatz von komplexen Adressaustauschen verwendet sie Algorithmen, um Ersatzadressen zu finden, die optisch den legitimen Adressen ähnlich sehen, wodurch der Betrug mit dem bloßen Auge nahezu unmöglich zu entdecken ist, sagten Cybersecurity-Forscher.
Wenn eine Kryptowallet gefunden wird, fängt die Malware Transaktionen vor der Signierung ab, und wenn Benutzer Transaktionen initiieren, ändert sie diese im Arbeitsspeicher, um die Gelder an Angreifer-Adressen umzuleiten.
Der Angriff zielte auf Pakete wie ‘chalk,’ ‘strip-ansi,’ ‘color-convert,’ und ‘color-name’ ab, die Kernbausteine sind, die tief in den Abhängigkeitsbäumen unzähliger Projekte vergraben sind.
Der Angriff wurde zufällig entdeckt, als eine Build-Pipeline mit einem „fetch is not defined“ Fehler fehlschlug, während die Malware versuchte, Daten mit der Fetch-Funktion zu exfiltrieren.
„Wenn Sie eine Hardware-Wallet verwenden, achten Sie auf jede Transaktion, bevor Sie sie signieren, und Sie sind sicher. Wenn Sie keine Hardware-Wallet verwenden, sollten Sie momentan keine On-Chain-Transaktionen durchführen,“ rat Ledger CEO Charles Guillemet.
Explanation of the current npm hack
In any website that uses this hacked dependency, it gives a chance to the hacker to inject malicious code, so for example when you click a “swap” button on a website, the code might replace the tx sent to your wallet with a tx sending money to…
— 0xngmi (@0xngmi) September 8, 2025
Umfassender Angriffsvektor
Während die Nutzlast der Malware speziell auf Kryptowährung abzielt, ist der Angriffsvektor viel breiter. Er betrifft jede Umgebung, in der JavaScript/Node.js-Anwendungen ausgeführt werden, wie Webanwendungen, die in Browsern laufen, Desktop-Anwendungen, serverseitige Node.js-Anwendungen und mobile Apps, die JavaScript-Frameworks verwenden.
Eine reguläre Geschäftswebanwendung könnte diese bösartigen Pakete unwissentlich enthalten, aber die Malware würde nur aktiviert werden, wenn Benutzer auf dieser Seite mit Kryptowährungen interagieren.
Uniswap und Blockstream gehörten zu den ersten, die die Nutzer beruhigten, dass ihre Systeme nicht gefährdet sind.
Regarding the reports of the NPM supply chain attack:
Uniswap apps are not at risk
Our team has confirmed that we do not use any vulnerable versions of the affected packages
As always, be vigilant
— Uniswap Labs (@Uniswap) September 8, 2025
