Diesen Artikel teilen
Ledger CTO warnt vor NPM-Lieferkettenangriff mit über 1 Milliarde Downloads
Laut Guillemet wurde der schädliche Code — der bereits in Paketen mit über 1 Milliarde Downloads eingespielt wurde — entwickelt, um kryptografische Wallet-Adressen bei Transaktionen heimlich auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an den Angreifer senden könnten, ohne es zu bemerken.
8. Sept. 2025, 7:29 p.m. Übersetzt von KI
Machen Sie uns bei Google bevorzugt
Was Sie wissen sollten:
- Charles Guillemet, Chief Technology Officer des Hardware-Wallet-Herstellers Ledger, warnte auf X am Montag, dass ein umfangreicher Angriff auf die Lieferkette im Gange ist, nachdem das Konto eines angesehenen Entwicklers beim Node Package Manager (NPM) kompromittiert wurde.
- Laut Guillemet ist der bösartige Code – der bereits in Pakete mit über 1 Milliarde Downloads eingeschleust wurde – darauf ausgelegt, bei Transaktionen stillschweigend Krypto-Wallet-Adressen auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an den Angreifer senden könnten, ohne es zu bemerken.
Charles Guillemet, Chief Technology Officer des Hardware-Wallet-Herstellers Ledger, warnte auf X am Montag, dass ein umfangreicher Angriff auf die Lieferkette im Gange ist, nachdem das Konto eines angesehenen Entwicklers beim Node Package Manager (NPM) kompromittiert wurde.
Laut Guillemet ist der bösartige Code – der bereits in Pakete mit über 1 Milliarde Downloads eingeschleust wurde – darauf ausgelegt, bei Transaktionen stillschweigend Krypto-Wallet-Adressen auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an den Angreifer senden könnten, ohne es zu bemerken.
Die Geschichte geht weiter
Verpassen Sie keine weitere Geschichte.Abonnieren Sie noch heute den The Protocol Newsletter. Alle Newsletter ansehen
Guillemet nannte nicht den Entwickler, dessen Konto seiner Aussage nach kompromittiert wurde.
Der Vorfall unterstreicht, wie eng vernetzt Open-Source-Software ist und warum Sicherheitslücken in Entwickler-Tools nahezu sofort auf die Kryptoökonomie durchschlagen können.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
— Charles Guillemet (@P3b7_) September 8, 2025
The malicious payload works…
„NPM ist ein Werkzeug, das in der Softwareentwicklung mit JavaScript häufig verwendet wird und Entwicklern die Integration von Paketen erleichtert“, sagte Guillemet in einer Nachricht an CoinDesk. Wenn ein Angreifer das Konto eines Entwicklers kompromittiert, kann er bösartigen Code in weit verbreitete Pakete einschleusen.
„Der bösartige Code versucht, Benutzer auszurauben, indem er in Transaktionen oder allgemeinen On-Chain-Aktivitäten verwendete Adressen durch die Adresse des Hackers ersetzt,“ fügte Guillemet hinzu.
Guillemet betonte, dass, wenn eine dezentrale Anwendung oder eine Software-Wallet auf irgendeiner Blockchain diese JavaScript-Pakete enthält, diese kompromittiert werden könnten und Krypto-Nutzer daher ihre Gelder verlieren könnten.
„Die einzige sichere Methode, dem entgegenzuwirken, besteht darin, eine Hardware-Wallet mit einem sicheren Bildschirm zu verwenden, die Clear Signing unterstützt“, erklärte Guillemet gegenüber CoinDesk. „Dies ermöglicht es dem Nutzer, genau zu sehen, an welche Adressen Gelder gesendet werden, und sicherzustellen, dass diese mit den beabsichtigten Adressen übereinstimmen.“
"Hardware-Wallets ohne sichere Bildschirme und jede Wallet, die kein Clear Signing unterstützt, sind einem hohen Risiko ausgesetzt, da es unmöglich ist, die Genauigkeit der Transaktionsdetails zuverlässig zu überprüfen," fügte er hinzu.
"Es ist eine Gelegenheit, alle daran zu erinnern: Überprüfen Sie Ihre Transaktionen stets, unterschreiben Sie niemals blind, verwenden Sie eine Hardware-Wallet mit sicherem Display und bestätigen Sie alles mit Clear Sign," sagte Guillemet.
Weiterlesen: Ledger CTO geht auf Kritik am neuen Wallet-Wiederherstellungsdienst ein
AI-Haftungsausschluss: Teile dieses Artikels wurden mit Hilfe von KI-Tools erstellt und von unserem Redaktionsteam überprüft, um die Richtigkeit und Einhaltung Standards sicherzustellen. Weitere Informationen finden Sie unter CoinDesks vollständige KI-Richtlinie.
