Die besten Krypto-Einblicke direkt in Ihren Posteingang.
- Axios npm-Pakete wurden über ein kompromittiertes Mitwirkenden-Konto veröffentlicht.
- Die Pakete enthielten einen Trojaner, der in der Lage war, Schadsoftware auszuliefern und gleichzeitig seine Installation zu löschen.
- Der Angriff dauerte drei Stunden, wobei das Risiko unbekannter Kryptoverluste im Falle einer Offenlegung der Wallets besteht.
Axios, eine der beliebtesten JavaScript-Bibliotheken, könnte kompromittiert und in einen Krypto-Wallet-Angriff verwickelt sein. Angriffe auf npm-Pakete werden immer häufiger und zielen direkt auf Projekte, Entwickler und Endnutzer ab.
Ein Axios-npm-Paket wurde in der offiziellen JavaScript-Bibliothek veröffentlicht und nur wenige Stunden später wieder entfernt. Sicherheitsexperten der Blockchain fingen den Angriff ab, der etwa drei Stunden aktiv war.
@npmjs @GHSecurityLab Es gibt einen aktiven Lieferkettenangriff auf [email protected] , der ein heute veröffentlichtes Schadprogramm einschleust – [email protected] – jemand hat das Entwicklerkonto von Axios übernommen.
— Maxwell (@mvxvvll) 31. März 2026
kompromittiertdent, während die Forscher weiterhin nach Anzeichen für eine Kompromittierung des Kontos suchten. Die betroffenen Pakete wurdendentals [email protected] und [email protected].
Wie Cryptopolitan berichtete , zielen npm-Angriffe häufig auf Krypto-Wallets ab und stellen ein besonders hohes Risiko für dezentrale Projekte mit großen Teambeständen dar.
Was geschah beim Axios-npm-Angriff?
StepSecurity gehörte zu den ersten, diedent. Zwei manipulierte Versionen der Axios HTTP-Clientbibliothek wurden mithilfe der kompromittierten Zugangsdatendentführenden Axios-Entwicklers veröffentlicht und umgingen dabei den normalen Veröffentlichungsprozess auf GitHub.
Laut StepSecurity handelte es sich hierbei um den bisher raffiniertesten Angriff auf ein weit verbreitetes Top-10-npm-Paket. Die manipulierte Paketversion fügt eine neue Abhängigkeit, [email protected], ein, die im Axios-Quellcode nicht importiert ist. Diese Abhängigkeit führt ein Post-Install-Skript aus, das auf allen Betriebssystemen aktiv ist.
Nach der Verwendung von npm wird der Client mit einem Remote-Access-Trojaner infiziert, der über einen aktiven Server verfügt und die Schadsoftware ausliefert. Die Malware löscht sich anschließend selbst und ersetzt die verdächtige .json-Datei durch eine saubere Version, um einer Erkennung zu entgehen.
Welche Projekttypen waren betroffen?
Die npm-Pakete zählten mit bis zu 100 Millionen Downloads pro Woche zu den beliebtesten. Bislang liegen jedoch keine Berichte über unautorisierte Kryptotransaktionen vor. Ein vorheriger npm-Angriff führte lediglich zu Kryptoverlusten in Höhe von 1.000 US-Dollar durch unbekannte Token.
Die einzige Möglichkeit, bösartige npm-Versionen einzuschränken, besteht darin, Versionen zu tracund automatische Aktualisierungen nicht zuzulassen oder neue Versionen auf potenziell bösartige Uploads zu überprüfen.
Diesmal ein neuer Lieferkettenangriff auf npm axios, die beliebteste HTTP-Client-Bibliothek mit 300 Millionen wöchentlichen Downloads.
Beim Scannen meines Systems fand ich eine vor einigen Tagen aus googleworkspace/cli importierte Anwendung, als ich mit der gmail/gcal-CLI experimentierte. Die installierte Version (zum Glück)… https://t.co/9DOVWH5KK1
— Andrej Karpathy (@karpathy) 31. März 2026
Forscher entdeckten außerdem zwei weitere Schadprogramme, die auf dieselbe Weise Schadcode ausliefern: @shadanai/openclaw und @qqbrowser/openclaw-qbot. Der Angriff folgte nur eine Woche nach der Schadcodeeinschleusung durch LiteLLM.
Es liegen keine Berichte über betroffene Web3- oder OpenClaw-Projekte oder gestohlene Kryptowährungen während des Angriffs vor. Es wurde jedoch davor gewarnt, dass npm-Angriffe nun häufiger vorkommen könnten, sei es durch gestohlene Zugangsdatendentunautorisierte Veröffentlichungen. Diese Bedrohung folgt auf frühere Warnungen vor Schadcode, der die OpenClaw-Skill-Plattform.
Die Pakete beschränken sich nicht auf Web3- oder Bot-Projekte und können jegliche mit Krypto-Wallets verknüpfte Daten beeinträchtigen. Der Vertrauensverlust in die Installation von Python über npm und pip könnte auch das allgemeine Vertrauen in das Bibliotheks-Ökosystem untergraben und Forderungen nach einem sichereren Upload-Pfad nach sich ziehen.
Der Einsatz von KI-Agenten kann auch zu unkontrolliertem Herunterladen von Paketen und damit zur Verbreitung der Bedrohung führen. Die Auswirkungen auf Krypto-Wallets sind möglicherweise nicht sofort sichtbar, dennoch besteht die Gefahr, dass Wallet-Daten offengelegt werden.
Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Hristina Vasileva
Hristina Vasileva ist Expertin für DeFi, Wirtschaft und Finanznachrichten. Nach einem vierjährigen Bachelor-Studium in Betriebswirtschaft, Journalismus und Massenkommunikation absolvierte sie ein Masterstudium in Philosophie an der Universität Sofia. Sie arbeitete für eine der führenden Zeitungen des Landes und berichtete über Rohstoffe und Unternehmensergebnisse. Derzeit ist Hristina als freie Autorin für Cryptopolitantätig.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)