Ein großangelegter Lieferkettenangriff hat die Open-Source-Softwarebibliothek npm (Node Package Manager) getroffen und gefährdet potenziell Milliarden von Downloads. Angreifer haben sich Zugang zu den Konten vertrauenswürdiger Entwickler verschafft und Schadcode in populäre npm-Pakete eingeschleust.
Wie der Angriff funktionierte
Die Angreifer nutzten Phishing-E-Mails, um Entwickler dazu zu bringen, ihre Zugangsdaten preiszugeben. Diese E-Mails gaben sich als legitime npm-Benachrichtigungen aus und forderten die Empfänger auf, ihre Zwei-Faktor-Authentifizierung (2FA) zu aktualisieren. Einmal im Besitz der Kontozugangsdaten, konnten die Angreifer modifizierte Versionen von npm-Paketen hochladen, die Schadcode enthielten.
Die Gefahr für Krypto-Nutzer
Besonders besorgniserregend ist, dass der Schadcode darauf ausgelegt ist, Krypto-Wallet-Adressen in Transaktionen unbemerkt auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an die Angreifer senden könnten, ohne es zu merken. Charles Guillemet, CTO des Hardware-Wallet-Herstellers Ledger, warnte auf X (ehemals Twitter) vor diesem spezifischen Risiko.
Auswirkungen und Reaktion
Die betroffenen npm-Pakete werden wöchentlich über eine Milliarde Mal heruntergeladen. Das npm-Team hat einige der bösartigen Versionen entfernt, darunter auch das Paket "debug", das allein 357,6 Millionen Mal pro Woche heruntergeladen wird. Die vollständige Beseitigung der Bedrohung und die Untersuchung des genauen Ausmaßes des Schadens sind jedoch noch im Gange.
- Die Angreifer nutzten Phishing-E-Mails.
- Kompromittierte Entwicklerkonten ermöglichten das Hochladen von Schadcode.
- Krypto-Wallet-Adressen könnten unbemerkt ausgetauscht werden.
Dieser Vorfall unterstreicht die Bedeutung von Sicherheitsvorkehrungen bei der Nutzung von Open-Source-Software und die Notwendigkeit, Phishing-Versuche zu erkennen. Entwickler und Nutzer sollten stets die Echtheit von E-Mails überprüfen und ihre Konten mit starken Passwörtern und 2FA schützen.