Ledger-CTO Charles Guillemet: Kryptotransaktionen vermeiden, Lieferkettenangriff entdeckt

Ein groß angelegter Lieferkettenangriff wurde entdeckt, der möglicherweise Daten aus einer Krypto-Wallet tracund Vermögenswerte auf allen Blockchains stiehlt. Die npm-Bibliothek eines großen und vertrauenswürdigen Accounts wurde kompromittiert, wie Forscher mitteilten. 

Ein groß angelegter Angriff auf die npm-Lieferkette zielt möglicherweise auf die Besitzer der gängigsten Krypto-Wallets ab. Charles Guillemet, CTO von Ledger, warnte Nutzer davor, Krypto-Transaktionen mit herkömmlichen browserbasierten oder Desktop-Wallets durchzuführen und Hardware-Wallets nur mit größter Vorsicht zu nutzen. 

🚨 Es findet ein großangelegter Lieferkettenangriff statt: Das NPM-Konto eines angesehenen Entwicklers wurde kompromittiert. Die betroffenen Pakete wurden bereits über eine Milliarde Mal heruntergeladen, wodurch das gesamte JavaScript-Ökosystem gefährdet sein könnte.

Die schädliche Nutzlast funktioniert…

– Charles Guillemet (@P3b7_) 8. September 2025

Forscher entdeckten, dass eines der vertrauenswürdigen JavaScript-npm- Konten Pakete mit Schadcode verbreitete, der tracKryptotransaktionen wandte sich über ein Hackernoon-Profil an die Community, um zu warnen, dass die betroffenen Pakete größtenteils noch immer kompromittiert und noch nicht durch sichere Versionen ersetzt worden seien.

Das Konto des npm-Maintainers ist weiterhin nicht wiederhergestellt und wurde höchstwahrscheinlich durch Social Engineering und einen gefälschten 2FA-Prozess gestohlen. GitHub-Nutzer meldeten eine verdächtige E-Mail, die angeblich vom npmjs-Support stammte. 

Der aktuelle Vorfall gilt als der größte npm-Lieferkettenangriff in der Geschichte. Sollten die E-Mails weitere Konten kompromittieren, könnten noch mehr Lieferanten betroffen sein.

Großangelegter Lieferkettenangriff zielt auf Software-Krypto-Wallets ab

In der vergangenen Woche Cryptopolitan berichtete über zwei kompromittierte Pakete, mit denen Kryptowährungen auf Ethereum. 

Der aktuelle Angriff ist deutlich umfangreicher – er betrifft insgesamt 18 sehr beliebte npm-Pakete mit 2 Milliarden Downloads in der vergangenen Woche. Derzeit ist unklar, wie viele dieser Pakete sich im JavaScript-Ökosystem verbreitet haben. 

Der Lieferkettenangriff gilt als eine der größten Bedrohungen im Kryptobereich, da er potenziell den Bestimmungsort von Geldern in Echtzeit ändern kann, obwohl der Benutzer scheinbar die korrekte Transaktion unterzeichnet hat. 

Ich würde Ihnentrondavon abraten, derzeit irgendwelche Krypto-Transaktionen zu unterzeichnen.

Es gibt einen massiven Lieferkettenangriff auf beliebte NPM-Pakete, der möglicherweise verschiedene Krypto-Websites kompromittiert hat (Frontend, nicht die eigentlichentrac).

Es ändert die Zieladresse von Transaktionen und…

— cygaar (@0xCygaar) 8. September 2025

Die größte Bedrohung betrifft erneut Nutzer von Software-Wallets und betrifft Berichten zufolge MetaMask, Trust Wallet, Exodus und andere. Sämtliche npm-Pakete wurden deaktiviert, Entwickler müssen jedoch ihren Code anpassen, um die Verwendung der fehlerhaften Pakete zu unterbinden. 

Wenige Stunden nach dem Angriff Axiom und Jupiter DEX , dass sie keine der fehlerhaften npm-Pakete verwendet hatten und der Handel fortgesetzt werden kann. Auch Kamino gab bekannt, keinen fehlerhaften Code eingesetzt zu haben.

Nutzer werden dringend gebeten, keine Transaktionen zu unterzeichnen, bis die Entwickler grünes Licht geben

Es gilt derzeit als unwahrscheinlich, dass ein Angreifer private Seeds direkt stehlen kann, da dies noch größere Sicherheitslücken in den Wallets aufdecken würde. Aktuell sind Benutzer-Wallets sicher, solange sie keine Transaktion senden oder signieren. 

Der Adresstausch erfolgt vor der Signierung, da der Angreifer ähnlich aussehende Ziel-Wallets verwendet. Die Adressen ähneln sich stark, weshalb vor der Signierung eine detaillierte Überprüfung Buchstabe für Buchstabe erforderlich ist. Normalerweise überprüfen Krypto-Nutzer nur die ersten und letzten vier Ziffern, wodurch sie anfällig für Adresstausch-Angriffe sind. 

Es gibt jedoch auch Smarttracund automatisierte Transaktionen. Endnutzern wird empfohlen, alle Browser-Wallets zu sperren und zu deaktivieren sowie keine Transaktionen zu signieren. Die Meldung enthielt auch keine Erklärung für den Krypto-Anstieg vom Montag. Darüber hinaus haben die On-Chain-Experten keine Warnungen vor großen oder ungewöhnlichen Verlusten einzelner Wallets herausgegeben.

Der Angriff kann alle Anwendungen im Web3- und DeFi Ökosystem betreffen. Derzeit laufen die Transaktionen auf allen Blockchains weiter. Forscher haben Screenshots potenzieller Ziel- Wallets, von denen einige noch leer sind.