Ein groß angelegter Angriff auf die Lieferkette löst Alarm in der gesamten Kryptowelt aus, aber es wurden nur 503 Dollar gestohlen
Bösartige NPM-Pakete zielen auf Geldbörsen in verschiedenen Ketten ab, doch die Auswirkungen bleiben begrenzt.
- Veröffentlicht:
- Bearbeitet:
Am 8. September warnte Charles Guillemet, Chief Technology Officer bei Ledger, vor einem aktiven Angriff auf die Lieferkette, der möglicherweise das gesamte JavaScript-Ökosystem betreffen könnte. In einem Beitrag auf X enthüllte er, dass das Node Package Manager (NPM)-Konto eines namhaften Entwicklers kompromittiert worden war. Der Angreifer schleuste Schadcode in Pakete ein, die über eine Milliarde Mal heruntergeladen wurden, und löste damit in der Krypto-Community Alarm aus.
Der eingeschleuste Code war so konzipiert, dass er die Adressen von Krypto-Brieftaschen bei Transaktionen stillschweigend austauschte. In der Praxis bedeutete dies, dass ahnungslose Nutzer Geld direkt an die Adresse des Angreifers senden konnten, ohne es zu bemerken.
Guillemet betonte, dass Hardware-Wallets weiterhin sicher seien, sofern die Nutzer jede Transaktion vor der Unterzeichnung überprüfen. Allen anderen Nutzern riet er, die Onchain-Aktivitäten zu unterbrechen, bis die Situation klarer werde.
Erste Besorgnis im gesamten Ökosystem
Die Nachricht löste im Kryptosektor sofortige Besorgnis aus, da viele dezentrale Anwendungen auf Open-Source-JavaScript-Pakete angewiesen sind. Eine kompromittierte Abhängigkeit könnte Nutzer auf Ethereum, Solana und anderen Chains gefährden.
Mehrere Projekte, darunter Marinade, Solflare, Step Finance, Jupiter, Drift und Phantom, gaben schnell Erklärungen ab, in denen sie bestätigten, dass ihre Systeme nicht betroffen waren.
Trotz dieser Beteuerungen war das Ausmaß der potenziellen Gefährdung erheblich. NPM-Pakete bilden die Grundlage für viele weit verbreitete Anwendungen, und ein Verstoß dieser Art verdeutlicht die Anfälligkeit der Sicherheit der Lieferkette bei der Softwareentwicklung.
Angriffsmechanismen und -absichten
In einem Folgebeitrag vom 9. September lieferte Guillemet weitere Details. Die Angreifer hatten sich über eine Phishing-E-Mail-Kampagne, die sich als NPM-Support ausgab, Zugang verschafft. Unter Verwendung einer gefälschten Domain stahlen sie die Anmeldedaten von Entwicklern und veröffentlichten bösartige Updates für weit verbreitete Pakete. Der eingeschleuste Code versuchte, webbasierte Kryptoaktivitäten abzufangen, indem er sich in Netzwerkantworten einklinkte und Wallet-Adressen ersetzte.
Die Wirksamkeit des Angriffs wurde jedoch durch Implementierungsfehler untergraben. Der bösartige Code verursachte einen Absturz der kontinuierlichen Integrations- und Bereitstellungspipelines, wodurch Entwickler und Sicherheitsteams früher alarmiert wurden, als es die Angreifer wahrscheinlich beabsichtigten. Diese Unterbrechung schränkte die Reichweite des Angriffs ein und verringerte die Zahl der erfolgreichen Diebstähle.
Minimaler finanzieller Schaden
Die Blockchain-Analyse legt nahe, dass die Angreifer nur einen minimalen Betrag gestohlen haben. Der Forscher @4484, der die mit dem Vorfall auf Arkham verbundenen Wallets unter der Bezeichnung "NPM-Angriff" zusammenfasste, fand nur 503,59 US-Dollar an gestohlenen Geldern. Wenige Stunden zuvor waren es noch 66 US-Dollar, was zeigt, dass die Summe zwar schrittweise gestiegen ist, aber im Vergleich zum potenziellen Ausmaß der Kompromittierung vernachlässigbar bleibt.
Der pseudonyme Gründer von DefiLlama, 0xngmi, erklärte, warum die Auswirkungen begrenzt waren. Der bösartige Code konnte Transaktionen auf Websites verändern, indem er kompromittierte Abhängigkeiten nutzte, wie beispielsweise das Ersetzen von Zieladressen. Allerdings mussten die Benutzer diese geänderten Transaktionen in ihren Geldbörsen noch manuell bestätigen, was einen automatischen Geldabfluss verhinderte.
Security Alliance, ein Sicherheitskollektiv, bezeichnete das Ergebnis als "Glück" und merkte an, dass der potenzielle Schaden immens hätte sein können, wenn die Angreifer die Nutzlast effektiver ausgeführt hätten.
Knappes Entkommen
Der Angriff auf die NPM-Lieferkette im September dient als Warnung und Mahnung zugleich. Die tatsächlichen Verluste waren gering, aber das Ausmaß der potenziellen Gefährdung war enorm. Mit über einer Milliarde Downloads der betroffenen Pakete hat der Vorfall gezeigt, wie ein kompromittiertes Konto einen Welleneffekt auf das gesamte Ökosystem haben kann.
Krypto-Nutzer und -Entwickler sind mit einer sich ständig weiterentwickelnden Bedrohungslandschaft konfrontiert. Während Hardware-Wallets und Transaktionsüberprüfungen weiterhin zuverlässige Schutzmaßnahmen darstellen, werden Angreifer auch weiterhin Schwachstellen in Software-Lieferketten ausloten. Die jüngste Episode endete zwar fastohne Opfer", aber die nächste könnte weitaus mehr Schaden anrichten.
Lesen Sie mehr auf SolanaFloor
Glauben Sie, Solana hat ein Wahrnehmungsproblem?