JavaScript-Attacke: Millionenschwerer Krypto-Diebstahl per Phishing-Mail

Eine simple Phishing-E-Mail reichte aus, um das komplette JavaScript-Ökosystem zu erschüttern. Ein kompromittierter Entwickler-Account ermöglichte es Cyberkriminellen, Schadcode in 18 beliebte Software-Pakete einzuschleusen ? mit über zwei Milliarden Downloads pro Woche.

Die Attacke zeigt eindrucksvoll, wie verwundbar die digitale Lieferkette geworden ist. Was als klassischer Betrugsversuch begann, entwickelte sich binnen Stunden zu einer globalen Bedrohung für Kryptowährungsbesitzer weltweit.

Der kompromittierte Entwickler Josh Junon fiel auf eine täuschend echte E-Mail herein, die angeblich vom offiziellen NPM-Registry stammte. Die Folgen waren verheerend: Malware, die gezielt Krypto-Transaktionen abfängt und umleitet, infizierte fundamental wichtige Code-Bibliotheken wie „chalk“ und „debug“.

Die Angreifer setzten nicht auf komplexe Hacking-Methoden, sondern auf bewährte Social-Engineering-Tricks. Junon erhielt eine offizielle wirkende E-Mail von „support@npmjs[.]help“ ? eine Domain, die die Kriminellen nur Tage zuvor registriert hatten.

Die Nachricht erzeugte künstlichen Zeitdruck: Seine Zwei-Faktor-Authentifizierung müsse aktualisiert werden, sonst drohe die Kontosperrung. Eine gefälschte Login-Seite, die das Original perfekt nachahmte, erbeutete schließlich seine kompletten Zugangsdaten inklusive des Einmal-Codes.

Mit diesem Zugang veröffentlichten die Angreifer binnen kürzester Zeit manipulierte Versionen von 18 JavaScript-Paketen. Der Entwickler gestand später auf Social Media: „Entschuldigung, ich hätte aufmerksamer sein sollen.“

Krypto-Clipper: Diebstahl durch geschickte Umleitung

Die eingeschleuste Schadsoftware erwies sich als raffiniert konstruierter „Krypto-Clipper“. Laut Analyse der Sicherheitsfirma Aikido überwacht das Programm heimlich den Netzwerkverkehr und die Programmierschnittstellen von Kryptowährungs-Wallets.

Der Clou: Bei Überweisungsversuchen tauscht die Malware die Zieladresse gegen eine der Angreifer aus. Um die Manipulation zu verschleiern, nutzt sie den Levenshtein-Algorithmus ? dieser wählt Wallet-Adressen aus, die der ursprünglichen zum Verwechseln ähnlich sehen.

Besonders perfide: Die Software leert keine Wallets automatisch. Nutzer müssen die manipulierte Transaktion selbst bestätigen ? der Bestätigungsbildschirm wird zur letzten Verteidigungslinie. Zielwährungen waren Bitcoin, Ethereum, Solana und weitere Kryptowährungen.
Anzeige: Viele Krypto-Nutzer wickeln Transaktionen heute über das Smartphone ab ? genau dort schlagen Phishing und Schad-Apps besonders gern zu. Wenn Sie WhatsApp, Online-Banking, PayPal oder Wallets auf Android nutzen, sollten die 5 wichtigsten Schutzmaßnahmen sitzen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Gerät ohne teure Zusatz-Apps zuverlässig absichern. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Knapp an der Katastrophe vorbei

Das Schadenspotenzial war gewaltig. Die infizierten Pakete bilden das Fundament unzähliger Websites und Anwendungen ? über zwei Milliarden Downloads wöchentlich sprechen für sich. Charles Guillemet, CTO von Ledger, sprach von einem „großangelegten Lieferketten-Angriff“ gegen das „gesamte JavaScript-Ökosystem“.

Sollten Anleger sofort verkaufen? Oder lohnt sich doch der Einstieg bei JavaScript-Attacke?

Glücklicherweise reagierte die Sicherheitsgemeinschaft blitzschnell. Ungewöhnlicher Code wurde gemeldet, der betroffene Entwickler informiert. Das NPM-Team deaktivierte die kompromittierten Paket-Versionen bereits am 8. September ? nur Stunden nach der Entdeckung.

Dennoch unterstreicht der Vorfall ein erschreckendes Szenario: Ein einziger gehackter Entwickler-Account kann globale Sicherheitsvorfälle auslösen. Experten betonen, dass nur die Fokussierung auf Kryptowährung eine noch verheerendere Malware-Epidemie verhinderte.

Systemische Schwachstelle: Die fragile Open-Source-Welt

Der Angriff folgt einem bekannten Muster, das Sicherheitsexperten zunehmend beunruhigt. Statt einzelne Unternehmen anzugreifen, kompromittieren Cyberkriminelle die gemeinsam genutzten Open-Source-Werkzeuge.

Ilkka Turunen von Sonatype erklärt: „Durch die Übernahme beliebter Open-Source-Pakete können Gegner Geheimnisse stehlen, Hintertüren installieren und Organisationen infiltrieren.“ Der Vorfall ähnelt einem Angriff auf das „nx“-NPM-Paket Ende August ? ein Zeichen für koordinierte Kampagnen.

Besonders brisant: Sicherheitsexperte Nicholas Weaver fordert phishing-sichere Multi-Faktor-Authentifizierung wie physische Sicherheitsschlüssel. Standard-Zwei-Faktor-Methoden seien zu leicht abfangbar und machten kritische Infrastruktur gefährlich verwundbar.
Anzeige: Phishing-sichere Gewohnheiten beginnen oft beim Handy: Gerätesperre, Play-Store-Einstellungen, Berechtigungen, Netzwerk-Schutz und Update-Routine. Der kostenlose Leitfaden ?Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone? erklärt alles in einfachen Schritten ? ideal für alle, die Banking- oder Wallet-Apps nutzen. Kostenlosen Sicherheits-Guide per E-Mail sichern

Was jetzt zu tun ist

Die Bedrohung für Paket-Plattformen wie NPM und PyPI wird weiter steigen. Ihr zentraler Stellenwert in der Softwareentwicklung macht sie zu perfekten Zielen für Massenangriffe.

Plattform-Betreiber müssen stärkere Authentifizierung durchsetzen. Entwickler brauchen bessere Abhängigkeits-Prüfungen. Und Endnutzer sollten laut Minal Thukral von Okto „jeden Buchstaben der Empfängeradresse sorgfältig prüfen, bevor sie Transaktionen bestätigen.“

Hardware-Wallets bieten besseren Schutz, da sie Bestätigungen auf separaten Geräten erfordern. Der Vorfall zeigt: In der vernetzten Welt genügt ein kleiner Fehler für große Schäden.

JavaScript-Attacke: Kaufen oder verkaufen?! Neue JavaScript-Attacke-Analyse vom 9. September liefert die Antwort:

Die neusten JavaScript-Attacke-Zahlen sprechen eine klare Sprache: Dringender Handlungsbedarf für JavaScript-Attacke-Investoren. Lohnt sich ein Einstieg oder sollten Sie lieber verkaufen? In der aktuellen Gratis-Analyse vom 9. September erfahren Sie was jetzt zu tun ist.

JavaScript-Attacke: Kaufen oder verkaufen? Hier weiterlesen...