Angriff auf NPM – Glück im Unglück

von · Veröffentlicht · Aktualisiert

In diesen Beitrag geht es um den Angriff auf NPM. Wir erklären euch genau, was passiert ist. Es wird spannend!

Einleitung

Ein Angriff auf das NPM-Ökosystem erschütterte im September 2025 die Entwicklerwelt. Mehrere populäre Pakete wurden kompromittiert, darunter chalk, debug und ansi-styles. Zusammen erreichen sie Milliarden Downloads pro Woche. Ein einzelner erfolgreicher Angriff hätte Millionen Systeme betreffen können. Doch die tatsächliche Ausbeute blieb verschwindend gering – weniger als 50 US-Dollar. Trotzdem gilt dieser Fall als „größter NPM-Angriff in der Krypto-Geschichte“.

Der Ablauf

Die Angreifer nutzten Phishing. Sie lockten einen Maintainer auf eine gefälschte NPM-Seite. Dort gaben sie Anmeldedaten ein. Auch der Zwei-Faktor-Code wurde abgegriffen. Mit diesen Daten gelang den Hackern der volle Zugang. Danach veröffentlichten sie manipulierte Versionen mehrerer Pakete. Der bösartige Code enthielt einen sogenannten Crypto-Clipper.

Ein Crypto-Clipper funktioniert simpel. Wenn ein Nutzer eine Wallet-Adresse kopiert, ersetzt die Malware diese Adresse stillschweigend. Statt Geld an den richtigen Empfänger zu senden, landet es bei den Angreifern. So könnten theoretisch riesige Summen umgeleitet werden.

Der Schaden

Trotz dieser gefährlichen Technik blieb der finanzielle Schaden extrem gering. Weniger als 50 US-Dollar flossen an die Hacker. Manche Quellen sprechen sogar nur von wenigen Cent. Der Grund: Die kompromittierten Versionen wurden schnell entdeckt. Innerhalb weniger Stunden griffen Sicherheitsfirmen und Community-Scanner ein. Die Pakete wurden aus dem NPM-Registry entfernt. Entwicklerteams erhielten Warnungen und reagierten.

Sicherheitsforscher Samczsun verglich die Situation so: „Es war, als hätte jemand die Schlüsselkarte zu Fort Knox gefunden und sie als Lesezeichen genutzt.“ Die Macht des Angriffs war enorm, aber der tatsächliche Nutzen minimal.

Warum das trotzdem wichtig ist

Die geringe Beute darf nicht täuschen. Der Angriff zeigt, wie verwundbar moderne Software-Lieferketten sind. Ein einziger kompromittierter Maintainer kann eine Kette von Abhängigkeiten infizieren. Projekte auf der ganzen Welt hängen an wenigen Personen und deren Accounts. Diese Abhängigkeit ist ein systemisches Risiko.

Supply-Chain-Angriffe sind keine Seltenheit. Schon im Juli 2025 wurden andere NPM-Pakete kompromittiert. Dort injizierten Angreifer Backdoors und Infostealer. Auch in anderen Ökosystemen wie PyPI oder RubyGems gab es ähnliche Vorfälle. Doch nie zuvor war das potenzielle Schadensausmaß so hoch.

Folgen für Entwickler

Für Entwicklerteams bedeutet das: Mehr Aufwand. Jeder muss nun prüfen, welche Versionen installiert sind. CI/CD-Pipelines brauchen zusätzliche Sicherheitsprüfungen. Lockfiles und Hash-Prüfungen gewinnen an Bedeutung. Viele Firmen setzen verstärkt auf Dependency-Scanner und Monitoring-Tools wie Semgrep.

Der Angriff zeigt auch: Zwei-Faktor-Authentifizierung allein reicht nicht. Phishing kann selbst 2FA umgehen, wenn Nutzer ihre Codes in gefälschten Formularen eingeben. Darum werden Hardware-Keys und passwortlose Verfahren wichtiger.

Lehren für die Community

Die Community muss langfristig ihre Prozesse überdenken.

  • Weniger Abhängigkeiten. Jede zusätzliche Bibliothek ist ein Risiko.
  • Mehr Transparenz. Digitale Signaturen und sichere Build-Prozesse könnten helfen.
  • Schulung. Maintainer müssen sensibilisiert werden. Phishing ist oft die erste Eintrittstür.
  • Monitoring. Automatische Systeme sollten Registry-Einträge und verdächtige Publikationen scannen.

Auch Nutzer von Krypto-Diensten sollten wachsam bleiben. Selbst wenn der Schaden diesmal gering war, kann ein erfolgreicher Clipper-Angriff in Sekunden Millionen verursachen.

Fazit

Der Angriff auf NPM war technisch gesehen ein Albtraum. Die Täter hatten Zugriff auf Pakete mit Milliarden Downloads. Dass sie nur ein paar Dollar erbeuteten, ist fast schon grotesk. Doch die eigentliche Gefahr liegt in der Botschaft: Die Infrastruktur unserer Software ist fragil. Ein Phishing-Angriff reicht, um die Basis des modernen Internets zu unterwandern.

Die Lehre: Entwickler und Firmen müssen handeln. Heute waren es 50 Dollar. Morgen könnte es ein Milliardenverlust sein.

Angriff auf NPM – Glück im Unglück Quellen:

BTC-ECHO Artikel zum Angriff – „Größter NPM-Angriff in der Krypto-Geschichte“
https://www.btc-echo.de/schlagzeilen/groesster-npm-angriff-in-der-krypto-geschichte-als-wuerde-man-die-schluesselkarte-zu-fort-knox-finden-und-sie-als-lesezeichen-benutzen-215124/

Krebs on Security – Analyse des Supply-Chain-Angriffs
https://krebsonsecurity.com/2025/09/18/popular-code-packages-hacked-rigged-to-steal-crypto/

NowSecure Blog – Auswirkungen auf Mobile Apps
https://www.nowsecure.com/blog/2025/09/08/major-npm-supply-chain-attack-potential-impact-on-mobile-applications/

Semgrep Blog – Details zu den kompromittierten Paketen
https://semgrep.dev/blog/2025/chalk-debug-and-color-on-npm-compromised-in-new-supply-chain-attack

Cointelegraph – Zusammenfassung der finanziellen Auswirkungen
https://cointelegraph.com/news/large-scale-npm-attack-compromised-less-50-dollars

Tags:

NPM, Supply-Chain-Angriff, Krypto, Cybersecurity, Open Source, Phishing, Malware, Crypto-Clipper, Abhängigkeiten, Entwickler, Software-Sicherheit, Node.js, Paketmanager, Security Breach, DevSecOps, Code-Sicherheit, Sicherheitslücke, Two-Factor-Authentication, Incident Response, Blockchain Security

Schlagwörter:

Für dich vielleicht ebenfalls interessant …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert