NPM-Exploit hebt Bedrohung für Krypto-Sicherheit hervor

Bei einem kürzlich erfolgten Angriff auf den Node Package Manager (NPM) wurden Kryptowährungen im Wert von nur 50 US-Dollar gestohlen, doch Branchenexperten zufolge verdeutlicht dieser Vorfall die aktuellen Schwachstellen von Börsen und Software-Wallets.

Charles Guillemet, Chief Technology Officer des Hardware-Wallet-Unternehmens Ledger, sagte in einem Beitrag auf X am Dienstag, dass der versuchte Angriff eine „deutliche Erinnerung” daran sei, dass Software-Wallets und Börsen weiterhin Risiken ausgesetzt sind.  

“Wenn Ihre Gelder in einer Software-Wallet oder auf einer Börse liegen, sind Sie nur eine Codeausführung davon entfernt, alles zu verlieren", sagte er und fügte hinzu, dass Kompromittierungen der Lieferkette nach wie vor ein wirkungsvoller Vektor für die Verbreitung von Malware sind. 

Guillemet nutzte die Gelegenheit, um für Hardware-Wallets zu werben, und erklärte, dass Funktionen wie Clear Signing und Transaktionsprüfungen den Nutzern helfen würden, solchen Bedrohungen standzuhalten. „Die unmittelbare Gefahr mag vorüber sein, aber die Bedrohung besteht weiterhin. Gehen Sie auf Nummer sicher“, fügte er hinzu.

Größter NPM-Angriff: Nur 50 US-Dollar in Krypto gestohlen

Der Angriff erfolgte, nachdem Hacker Anmeldedaten erlangt hatten, indem sie eine Phishing-E-Mail von einer gefälschten NPM-Support-Domain versendeten. 

Mithilfe ihres Zugriffs auf Entwicklerkonten haben die Angreifer bösartige Updates an beliebte Bibliotheken weitergeleitet. Dazu gehörten chalk, debug strip-ansi und weitere. 

Der von ihnen eingefügte Code versuchte, Transaktionen zu kapern, indem er Wallet-Adressen abfing und sie in Netzwerkantworten über mehrere Blockchains hinweg ersetzte, darunter Bitcoin, Ethereum, Solana, Tron und Litecoin. 

Lesen Sie auch: SwissBorg gehackt: Solana (SOL) im Wert von 41 Mio. US-Dollar gestohlen

TON-CTO erläutert NPM-Angriff

Anatoly Makosov, Chief Technology Officer von The Open Network (TON), sagte, dass nur bestimmte Versionen von 18 Paketen kompromittiert worden seien und dass Rollbacks bereits veröffentlicht worden seien. 

Makosov erklärte die Mechanismen des Angriffs und sagte, dass die kompromittierten Pakete als Krypto-Clipper fungierten, die heimlich die Wallet-Adressen in Produkten fälschten, die auf den infizierten Versionen aufbauen.

Das bedeutet, dass Web-Apps, die mit den oben genannten Blockchains interagieren, Gefahr liefen, dass ihre Transaktionen ohne Wissen der Nutzer abgefangen und umgeleitet wurden. 

Er sagte, dass Entwickler, die ihre Builds innerhalb weniger Stunden nach den bösartigen Updates veröffentlicht haben, und Apps, die ihre Code-Bibliotheken automatisch aktualisieren, anstatt sie auf eine sichere Version zu fixieren, am stärksten gefährdet waren. 

Makosov stellte eine Checkliste zur Verfügung, anhand derer Entwickler überprüfen können, ob ihre Apps kompromittiert wurden. Das wichtigste Anzeichen ist, ob der Code eine der 18 Versionen beliebter Bibliotheken wie ansi-styles, chalk oder debug verwendet. Er sagte, wenn ein Projekt auf diesen Versionen basiert, ist es wahrscheinlich kompromittiert. 

Er sagte, die Lösung bestehe darin, wieder auf sichere Versionen umzusteigen, sauberen Code neu zu installieren und Anwendungen neu zu erstellen. Er fügte hinzu, dass neue und aktualisierte Versionen bereits verfügbar seien, und forderte Entwickler auf, schnell zu handeln, um die Malware zu entfernen, bevor sie ihre Nutzer beeinträchtigen könne.