NPM-Supply-Chain-Angriff: Was passiert ist und wie man es behebt

Die Kryptowährungsbranche und die Welt im Allgemeinen erlebten kürzlich einen Schock, als Sicherheitsexperten einen Supply-Chain-Angriff auf das Node.js-Ökosystem identifizierten, der bereits bis zu 18 npm-Pakete kompromittiert hatte.

Das liegt daran, dass diese wenigen Pakete jede Woche Milliarden von Downloads verzeichnen.

Softwarepakete werden verwendet zur Verteilung von Software von Drittanbietern. Sie werden häufig über einen Paketmanager aus einer externen Quelle abgerufen und enthalten normalerweise Quellcode, Bibliotheken, Dokumentation und andere Dateien, die zum Erstellen und Ausführen der Software erforderlich sind.

Ein Paket mit Malware tarnt sich als legitimes Paket, obwohl es sich tatsächlich um ein bösartiges Paket handelt, das Software infizieren soll. Sobald die Malware in ein System eindringt, kann sie Dateien verändern, Daten stehlenund sogar ein ganzes System übernehmen, um den Wünschen des Angreifers nachzukommen.

Während andere große Open-Source-Ökosysteme wie Python und .NET ebenso anfällig für Angriffe sind, ist JavaScript aufgrund seiner weiten Verbreitung besonders anfällig für Cyberkriminelle.

Node.js ist eine auf JavaScript basierende Open-Source-Laufzeitumgebung, die es Entwicklern ermöglicht, ihren Code außerhalb des Webbrowsers auszuführen. 

Traditionell die interpretierte Programmiersprache, die vor allem dafür bekannt ist, Webseiten interaktiv zu gestalten, wurde hauptsächlich verwendet für die clientseitige Webentwicklung in Browsern, aber Node.js hat die Verwendung von JavaScript auf serverseitige und andere Anwendungen ausgeweitet.

Mit Node.js können Entwickler schnelle und skalierbare Anwendungen wie Webserver, APIs, Tools und mehr erstellen.

Es profitiert von einem riesigen Ökosystem aus Open-Source-Bibliotheken und -Tools, die über npm verfügbar sind, was die Entwicklung vereinfacht und Lösungen für verschiedene Funktionen bietet.

Node Package Manager oder npm ist ein wichtiges Tool in der JavaScript-Entwicklung, das verwendet wird zum Suchen, Erstellen und Verwalten von Codepaketen. Es hilft beim Umgang mit Abhängigkeiten, ermöglicht die Zusammenarbeit und optimiert Arbeitsabläufe. 

Dieses weltweit größte Software-Register enthält über 3 Millionen Codepakete und kann völlig kostenlos verwendet werden. 

Jeder kann alle öffentlichen npm-Softwarepakete ohne Registrierung herunterladen. Open-Source-Entwickler nutzen npm zum Teilen und Ausleihen von Software, während viele Organisationen es zur Verwaltung privater Entwicklungen nutzen.

Um npm auf Ihrem Computer zu installieren, müssen Sie zuerst Node.js installieren.

Der Paketmanager für JavaScript wird von npm, Inc. gepflegt, einer Tochtergesellschaft von GitHub, der weltweit führenden Softwareentwicklungsplattform, die seit 2018 im Besitz von Microsoft ist, als der Technologieriese sie für 7.5 Milliarden US-Dollar erwarb, um Entwicklern mehr Möglichkeiten zu bieten. 

Letzte Woche wurde das Tool, auf das sich weltweit über 17 Millionen Entwickler verlassen, kompromittiert. Das löste Panik im Internet aus, allerdings nur für einen kurzen Moment, da Experten den Angriff frühzeitig entdeckten und die Angreifer nicht mehr als 50 US-Dollar erbeuten konnten. Hier ist, was passiert ist!

Was geschah beim NPM-Lieferkettenangriff (September 2025)

Bei einem massiven Supply-Chain-Angriff auf das JavaScript-Ökosystem kompromittierten Hacker eine Reihe von npm-Paketen mit Malware. Ziel des Angriffs war es, ahnungslosen Benutzern digitale Assets zu stehlen. 

Insbesondere wurde der NPM-Account des Entwicklers „qix“ gehackt. 

Qix ist ein Open-Source-Maintainer-Konto, das wurde kompromittiert durch einen Phishing-Angriff. Dieser ermöglichte es Angreifern, 18 beliebte npm-Pakete mit Schadcode zu infizieren. Zusammen werden diese Pakete allein wöchentlich Hunderte Millionen Mal heruntergeladen, da sie sind eingebettet in Frameworks, Entwicklertools und Produktionsdiensten.

Zu den betroffenen Paketen gehören die beliebtesten Pakete „chalk“, „debug“, „color-name“, „wrap-ansi“ und „ansi-styles“. Zu den weniger beliebten betroffenen npm-Paketen gehören „backslash“, „chalk-template“ und „has-ansi“.
Zum Scrollen wischen →

Alle betroffenen Pakete wurden seitdem Wurde entfernt durch das npm-Register. Durch die Kompromittierung eines hochrangigen Open-Source-Betreuers hat der Angriff das Vertrauen in das Open-Source-Software-Ökosystem (OSS) untergraben, da Entwickler nicht jede Abhängigkeit prüfen. Sie benutzen. Sie verlassen sich auf ihre Nutzung und ihren Ruf sowie die Sicherheit der Register.

Um die Pakete zu kompromittieren, wählte der Hacker den Phishing-Weg. Der Angreifer startete zunächst eine Phishing-Kampagne, um das Konto eines NPM-Paketbetreuers zu kapern, und injizierte dann seinen Schadcode in NPM-Pakete, bevor er die kompromittierten Versionen hochlud.

Entwickler Josh Junon fiel einer Phishing-E-Mail zum Opfer, die Teil einer größeren Kampagne war, die npm imitierte. Die Angreifer nutzten eine Phishing-Site, die die Anmeldeseite von npm imitierte, um seine Anmeldedaten zu stehlen. Sobald die Angreifer Zugriff hatten, sperrten sie Junon aus, indem sie die für Junons npm-Konto hinterlegte E-Mail-Adresse änderten.

„Hallo, ja, ich wurde gehackt. Tut mir leid, sehr peinlich.“ schrieb Junon bestätigte den Vorfall auf HackerNews. Er erklärte, bevor er klarstellte, dass nur npm betroffen war:

„Sah auf den ersten Blick seriös aus. Ich suche keine Ausreden, hatte einfach eine lange Woche und einen hektischen Morgen und wollte einfach etwas von meiner To-do-Liste streichen. Habe den Fehler gemacht, auf den Link zu klicken, anstatt direkt auf die Seite zu gehen.“ 

Die Phishing-E-Mail kam von support [at] npmjs [dot] help und verwendete eine Panikmache, um Junon dazu zu bringen, auf den Link zu klicken, der ihn auf die Phishing-Site umleitete.

Die Angreifer gaben vor, von npm zu sein, und forderten ihn auf, seine 2FA-Anmeldeinformationen zu aktualisieren. Sie behaupteten, dies sei Teil einer „fortlaufenden Verpflichtung zur Kontosicherheit“ und sie verlangten dasselbe von allen Benutzern. 

„Unseren Aufzeichnungen zufolge sind seit Ihrem letzten 12FA-Update über 2 Monate vergangen“, heißt es in der Phishing-E-Mail. Außerdem heißt es, dass Personen mit „veralteten 2FA-Anmeldeinformationen ab dem 10. September 2025 vorübergehend gesperrt werden, um unbefugten Zugriff zu verhindern.“

Die gleiche E-Mail wurde auch verwendet um andere Paketbetreuer und Entwickler anzusprechen.

Angesichts der weiten Verbreitung der betroffenen Pakete hätte es zu einem schwerwiegenden Vorfall kommen können, wenn es war nicht behandelt worden so schnell.

Als Charlie Erickson von Aikido Security in einem Bericht vermerktUnzählige Websites konnten durch diesen Angriff, bei dem die npm-Pakete einen Code enthielten, der auf dem Client einer Website ausgeführt werden konnte, sehr schwere Schäden vermeiden.

„Diese Malware ist im Wesentlichen ein browserbasierter Interceptor, der sowohl den Netzwerkverkehr als auch die Anwendungs-APIs kapert“, erklärte er in seiner Angriffsanalyse. „Was sie gefährlich macht, ist ihre mehrschichtige Funktionsweise: Sie verändert Inhalte auf Websites, manipuliert API-Aufrufe und manipuliert, was die Apps der Nutzer zu signieren glauben. Selbst wenn die Benutzeroberfläche korrekt aussieht, kann die zugrunde liegende Transaktion umgeleitet werden im Hintergrund.“

Der Schadcode wurde entworfen um Krypto zu stehlen. Der Angreifer durchsucht Zeichenfolgen nach Krypto-Wallet-Adressen und gefährdet damit diejenigen, die an kryptobezogenen Anwendungen arbeiten.

Die Malware arbeitete unbemerkt im Browser, ohne dass der Benutzer es merkte, indem sie Wallet-Adressen umschrieb und Gelder auf vom Angreifer kontrollierte Konten umleitete. Sie kaperte und manipulierte direkt Transaktionen über Bitcoin. (BTC ), Äther (ETH ), Solana (SOL ), Tron (TRX )Litecoin (LTC )und Bitcoin Cash (BCH ) auf einem kompromittierten System.

Zu diesem Zweck überwachte der Schadcode die Programmierschnittstellen der Browser Google Trends, Amazons Bestseller Fetch- und Wallet-Schnittstellen wie window.ethereum.

Der Schadcode „fängt stillschweigend Krypto- und Web3-Aktivitäten im Browser ab, manipuliert Wallet-Interaktionen und schreibt Zahlungsziele um, sodass Gelder und Genehmigungen werden umgeleitet auf von Angreifern kontrollierte Konten, ohne dass es für den Benutzer offensichtliche Anzeichen gibt“, sagte Erickson.

Sobald die Malware fertig ist, verwischt sie ihre Spuren, bleibt aber im Hintergrund aktiv, um alle zukünftigen Transaktionen im Netzwerk des ahnungslosen Opfers abzufangen.

Angesichts der Schwere des Angriffs warnte Charles Guillemet, CTO des Hardware-Wallet-Anbieters Ledger, Krypto-Nutzer zur Vorsicht bei der Bestätigung von On-Chain-Transaktionen. Die betroffenen Pakete, so Guillemet, im Beitrag erwähnt, wurden bereits über 1 Milliarde Mal heruntergeladen. 

Er teilte der Community den groß angelegten Angriff auf die Lieferkette mit. zielt Krypto-Software-Wallets mit die bösartige Nutzlast, die „still und im laufenden Betrieb Kryptoadressen austauscht, um Gelder zu stehlen.“ 

„Wenn Sie ein Hardware-Wallet verwenden, achten Sie vor der Unterzeichnung auf jede Transaktion, dann sind Sie auf der sicheren Seite. Wenn Sie kein Hardware-Wallet verwenden, verzichten Sie vorerst auf On-Chain-Transaktionen.“

– Guillemet

In der Zwischenzeit hat 0xngmi, der pseudonyme Gründer von DefiLlama, einer Kryptoanalyse-Plattform, X genutzt, um Teilen dass „der effektive Wirkungsbereich viel kleiner ist als „alle Websites““, da nur die Projekte gefährdet sein können, die wurden aktualisiert nachdem das mit Malware infizierte npm-Paket wurde veröffentlichtDennoch „ist es sicherer, die Nutzung von Krypto-Websites zu vermeiden, bis sich die Lage beruhigt hat und die fehlerhaften Pakete bereinigt wurden“, fügte er hinzu.

Letztendlich konnten Hacker bei einem solch massiven Supply-Chain-Angriff nur Kryptowährung im Wert von 50 US-Dollar stehlen. Bei den 50 US-Dollar handelt es sich unter anderem um Ether und eine Reihe von Meme-Coins wie Brett und Andy.

Es war jedoch mehr Glück als alles andere, da die Krypto-Intelligence-Plattform Security Alliance notiert zu X:

„Das hätte viel schlimmer kommen können. Eine heimlich installierte Hintertür, die auf Entwicklermaschinen zielte und sich auf Persistenz konzentrierte, hätte wer weiß wie lange unentdeckt bleiben können.“

Seitdem viele Krypto-Anwendungen wie Aave, Uniswap, Ledger, Jupiter, MetaMask, Phantom, Explosionund andere haben ihr Publikum darüber informiert, dass sie vor dem npm-Angriff sicher sind.

Obwohl der Angriff fehlgeschlagen ist, ist er eine deutliche Erinnerung für Entwickler, dass sie für höchste Sicherheit über ihre eigene Codebasis hinausgehen müssen. Selbst Softwareabhängigkeiten, die vertrauenswürdig und weit verbreitet sind, können ebenfalls kompromittiert werden jederzeit.

Auch hier müssen Coding-Plattformen wie GitHub und npm mehr tun, um die Sicherheit weit verbreiteter Pakete zu gewährleisten.

„Für beliebtere Pakete sollte eine Bestätigung erforderlich sein, dass sie aus vertrauenswürdiger Quelle stammen und nicht einfach zufällig von irgendwo im Internet gefunden wurden.“

– Eriksen

Schließlich können Kompromittierungen des Code-Repositorys für Entwickler äußerst verheerende Folgen haben, da sie aufgrund eines solchen Vorfalls möglicherweise ihr gesamtes Projekt aufgeben müssen.

Der Vorfall zeigt, wie vernetzt und anfällig das heutige Software-Ökosystem für Angriffe ist. Schon ein einziges kompromittiertes Konto kann Angreifern enorme Reichweite verschaffen. Daher ist es unerlässlich, in jedem Schritt des Entwicklungsprozesses verbesserte Sicherheitsmaßnahmen in der Lieferkette zu implementieren.

Schutz vor der schnell wachsenden Bedrohung durch Malware 

Angesichts der zunehmenden Bedrohung durch Malware und die Angriffe werden immer ausgefeilter und gezielter, es ist wichtigsten für Benutzer be ausgebildet und sei immer auf allen Plattformen wachsam.

Tatsächlich ist Schadsoftware oder Malware eine der häufigsten Arten von Cyberangriffen. Dabei entwickeln Angreifer einen Softwarecode oder ein Computerprogramm mit der Absicht, Zugriff auf den Computer des Opfers zu erhalten oder diesen zu beschädigen, ohne dass das Opfer davon Kenntnis hat. kompromittiert worden. 

Jedes Jahr kommt es weltweit zu Milliarden von Malware-Angriffen auf Geräte und Betriebssysteme aller Art. Mithilfe von Malware nehmen Cyberkriminelle nicht nur Geräte, sondern ganze Unternehmensnetzwerke in Geiselhaft.

Durch den unbefugten Zugriff auf die Geräte des Opfers stehlen Angreifer digitale Vermögenswerte und vertrauliche Daten, einschließlich Anmeldeinformationen, Kreditkartennummern und andere wertvolle Informationen. Unternehmen geraten zunehmend ins Visier von Malware-Angriffen, da diese über große Mengen personenbezogener Daten verfügen, die Hacker ausnutzen können, um hohe Geldsummen zu erpressen. 

Daten zeigen, dass die Die Mehrheit (59 %) der Organisationen war einem solchen Angriff ausgesetzt im Jahr 2024. Selbst kleinere Unternehmen sind nicht sicher: 47 % von ihnen waren im vergangenen Jahr von Ransomware betroffen. Gleichzeitig stieg die durchschnittliche Lösegeldzahlung in diesem Zeitraum um 500 % auf 2 Millionen US-Dollar. 

Auch die durchschnittlichen Kosten für die Wiederherstellung nach einem Malware-Angriff sind auf bis zu 2.73 Millionen US-Dollar gestiegen. Eine der größten Bedrohungen für das Internet ist derzeit Malware, die verschiedene Formulare mit dem alleinigen Zweck, Computersystemen und ihren Benutzern Schaden zuzufügen.

Viren, Ransomware, Trojaner, Würmer, Spyware, Adware und Crypto-Jacking sind allesamt verschiedene Arten von Malware. All diese sind entworfen um unbefugten Zugriff auf ein Netzwerk zu erlangen oder Computersysteme zu beschädigen.

Wenn es um die eigentlichen Ursachen von Angriffen geht, größte Eines davon (32 %) sind Angreifer, die Schwachstellen ausnutzen, gefolgt von kompromittierten Anmeldeinformationen (29 %) und bösartigen E-Mails (23 %). 

Jetzt, nur Wie kann man sich vor dieser allgegenwärtigen Bedrohung schützen? Der erste und einfachste Schritt besteht darin, Ihren Computer und Ihre Software immer auf dem neuesten Stand zu halten. Ebenfalls, Es ist wichtig, dass Sie nicht Klicken Sie im Internet auf so ziemlich alles. Besonders als Krypto-Benutzer muss man bei Links misstrauisch sein und auf keinen Fall etwas herunterladen, bei dem man sich nicht sicher ist.

Dasselbe gilt für E-Mail-Anhänge. Seien Sie beim Öffnen verdächtiger E-Mails vorsichtig und beschränken Sie den Dateiaustausch auf ein Minimum. Es ist ratsam, auf Ihrem Gerät eine Antivirensoftware zu installieren.

Obwohl Malware-Angriffe unvermeidlich sind, können sich Unternehmen auch darauf vorbereiten, indem sie ihre Abwehrmaßnahmen verstärken. Die einfachsten Möglichkeiten hierfür sind die Verwendung sicherer Passwörter, Multi-Faktor-Authentifizierung und VPNs, mit denen sich auch Einzelpersonen effektiver schützen können..

Unternehmen müssen Geräte ständig auf Anzeichen verdächtiger Aktivitäten überwachen, Schwachstellen identifizieren und Penetrationstests durchführen. Backups sensibler Daten auf vom Netzwerk getrennten Laufwerken helfen zudem bei der Wiederherstellung nach Malware-Angriffen.

Mitarbeiter müssen trainiert sein zu Stelle solche Angriffe leben und reagieren Sie schnell, indem Sie über Notfallreaktionspläne verfügen und wissen, wen Sie kontaktieren müssen auf Verdacht auf eine Malware-Bedrohung.

Durch die Nutzung der Zero-Trust-Netzwerkarchitektur können Unternehmen sicherstellen, dass niemand Zugriff auf Daten oder Assets erhält, die ihm nicht zustehen. Bei Zero Trust wird den Benutzern nie vertraut, sie werden immer verifiziert.

In der heutigen hyperdigitalen lifekönnen diese Praktiken helfen dank One Sicherung man selbst gegen die Gefahren einer zunehmend vernetzten Welt.

Wenn es darum geht, sich vor schädlichen Paketen zu schützen, gelten die allgemeinen Sicherheitsempfehlungen für Malware auch für NPM-Angriffe., aber von Natürlich gibt es noch weitere spezielle Vorsichtsmaßnahmen, die man treffen sollte, da das Ökosystem aufgrund seiner offenen Natur, der häufigen Wiederverwendung kleiner Pakete und großer Abhängigkeitsbäume besonders anfällig ist.

Um sich vor dieser ernsten Bedrohung zu schützen, müssen Sie vor der Installation immer die Zuverlässigkeit des Pakets überprüfen. Durch die Überprüfung der Paketintegrität stellen Sie sicher, dass Ihr Abhängigkeitsbaum nicht manipuliert wurde. 

Wenn Sie nach Anzeichen für eine unrechtmäßige Nutzung suchen, prüfen Sie neben der Quelle und dem Eigentum des Pakets auch alle an den Betreuern vorgenommenen Änderungen. Ihnen Erarbeiten Mai ebenfalls wollen Informieren Sie sich über die Funktion von Paketen und den Bedarf an ihnen.

Verwenden Sie Sicherheitstools, die kontinuierlich nach neuen Bedrohungen suchen und umsetzbare Ratschläge zur Entschärfung der Situation geben. npm-Audit-Checks können ausgeführt werden auf bekannte Schwachstellen in den Abhängigkeiten des Projekts. Durch die Implementierung automatisierter Sicherheitsscans vor der Bereitstellung wird sichergestellt, dass nur geprüfter und genehmigter Code in die Produktion gelangt.

Um sich vor dem neuesten Malware-Angriff zu schützen, müssen Sie betroffene Pakete mithilfe der Overrides-Funktion in package.json auf ihre sichersten Versionen fixieren, bevor sie kompromittiert werden. 

Führen Sie ein npm-Audit durch oder verwenden Sie Tools zur Software Composition Analysis (SCA), um Ihren Abhängigkeitsbaum auf betroffene Versionen zu überprüfen. Achten Sie auf Indikatoren für Kompromittierungen (IoCs), indem Sie Ihre Build-Protokolle, Entwicklerumgebungen und den ausgehenden Datenverkehr auf verdächtige Aktivitäten überprüfen.

Klicken Sie hier, um eine Liste der fünf Unternehmen anzuzeigen, die sich am besten gegen Cyberangriffe gewehrt haben.

Abschließende Gedanken: Absicherung von Open-Source-Abhängigkeiten

Die Bedrohungen im Internet nehmen ständig zu und werden immer ausgefeilter. 

Mit Angreifer Drehung auf neue Angriffsvektoren und Targeting Projekte mit unzureichenden Ressourcen, ist es für Entwickler, Unternehmen und Benutzer von entscheidender Bedeutung, nicht zu warten, bis die Bedrohung erscheinen bevor Schauspielkunst, aber zu teilnehmen: proaktive Maßnahmen weil ein schwaches Glied kann herunter nehmen ein ganzes System. 

Indem wir über neue Bedrohungen informiert bleiben und die Software-Lieferketten kontinuierlich prüfen und Überwachung von Bedrohungen, damit wir uns wirklich vor den sich ständig weiterentwickelnden Cyberrisiken schützen können.

Klicken Sie hier, um eine Liste der fünf größten Aktiengesellschaften anzuzeigen, die Cyber-Angreifer bestochen haben.