Vorsicht bei Krypto – Transaktionen: Vorübergehender Rat zur Zurückhaltung
Datum des Vorfalls: 8. September 2025
Was passiert ist:
Eine Phishing-Attacke hat dazu geführt, dass ein Entwickler seine NPM-Anmeldedaten inklusive Einmal-Code für die Zwei-Faktor-Authentifizierung preisgegeben hat. Dies ermöglichte den Angreifern, in insgesamt 18 sehr populäre Software – Pakete bösartigen Code einzuschleusen, der gezielt auf Kryptowährungstransaktionen im Browser abzielt.
Warum ist das so gefährlich?
- Manipulation im Hintergrund: Der schädliche Code greift im Browser ein, beeinflusst Wallet-Interaktionen und leitet Zahlungen unbemerkt an Konten der Angreifer um. Die Benutzeroberfläche sieht zwar korrekt aus, aber Transaktionen werden im Hintergrund umgeleitet.
- Massive Reichweite: Alle betroffenen Pakete zusammen werden wöchentlich über 2 Milliarden Mal heruntergeladen – die potenzielle Schadwirkung ist also enorm da niemand bisher weiß, in welchen Webanwendungen die Pakete enthalten sind. Das betrifft übrigens auch Webseiten und Browserplugins, welche nichts mit Krypto zu tun haben.
- Schnelle Eindämmung: Zum Glück wurde die Attacke rasch entdeckt und die Pakete geupdated – dennoch bleibt unklar, welche Websites oder Browser-Anwendungen betroffen waren oder sind, da das Update erst seit dem 08.9 – 20:00 verfügbar ist.
Empfehlung an Endanwender: Kryptowährungstransaktionen vermeiden – bis Klarheit herrscht
Solange keine vollständige Aufklärung vorliegt, ist es aus Sicherheitsgründen ratsam, vorübergehend auf Krypto-Transaktionen im Browser zu verzichten. Insbesondere wenn:
- du über Web-Wallets wie MetaMask, Ledger Live im Browser etc. Kryptowährungen sendest.
- dies möglicherweise über Websites geschieht, die auf JavaScript-Komponenten setzen.
Warte ab, bis Entwickler oder Sicherheitsbehörden bestätigen, welche Anwendungen oder Websites sicher sind. Erst dann lässt sich mit gutem Gewissen wieder handeln.
Nächste Schritte für Klarheit:
- Transaktionspause: Nutze sichere, dedizierte Wallet-Software außerhalb des Browsers (z. B. Hardware-Wallets oder Offline-Wallets) oder verschiebe Transaktionen, bis Klarheit herrscht.
- Informationsquellen im Blick behalten: Folge verlässlichen Quellen wie KrebsOnSecurity und dem Aikido-Blog, die regelmäßig Updates zu diesem Vorfall liefern.
krebsonsecurity.com
aikido.dev - Sofern mehr bekannt oder es entwarnung gibt, update ich euch.
- Potenziell bei I.Q. und im Umfeld betroffende Software und deren Ansprechpartner wurden von mir bereits benachrichtigt.
Hintergrund im Überblick:
| Punkt | Details |
|---|---|
| Betroffene Pakete | 18 JavaScript-Bibliotheken wie debug, chalk u. a.; wöchentlich über 2 Mrd Downloads. aikido.dev |
| Art des Eingriffs | Phishing via gefälschte NPM-Loginseite inklusive 2FA-Token. krebsonsecurity.com aikido.dev |
| Folgewirkung | Browser-basierter Code interceptiert Wallet-Interaktionen. krebsonsecurity.com aikido.dev |
| Aktuelle Position | Angriff offenbar schnell unterbunden; Folgen und betroffene Dienste weiterhin unklar. krebsonsecurity.com aikido.dev |