Diesen Artikel teilen
Ledger CTO warnt vor NPM-Lieferkettenangriff mit über 1 Milliarde Downloads
Laut Guillemet wurde der schädliche Code — der bereits in Paketen mit über 1 Milliarde Downloads eingespielt wurde — entwickelt, um kryptografische Wallet-Adressen bei Transaktionen heimlich auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an den Angreifer senden könnten, ohne es zu bemerken.
8. Sept. 2025, 7:29 p.m. Übersetzt von KI
Was Sie wissen sollten:
- Charles Guillemet, Chief Technology Officer des Hardware-Wallet-Herstellers Ledger, warnte auf X am Montag, dass ein umfangreicher Angriff auf die Lieferkette im Gange ist, nachdem das Konto eines angesehenen Entwicklers beim Node Package Manager (NPM) kompromittiert wurde.
- Laut Guillemet ist der bösartige Code – der bereits in Pakete mit über 1 Milliarde Downloads eingeschleust wurde – darauf ausgelegt, bei Transaktionen stillschweigend Krypto-Wallet-Adressen auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an den Angreifer senden könnten, ohne es zu bemerken.
Charles Guillemet, Chief Technology Officer des Hardware-Wallet-Herstellers Ledger, warnte auf X am Montag, dass ein umfangreicher Angriff auf die Lieferkette im Gange ist, nachdem das Konto eines angesehenen Entwicklers beim Node Package Manager (NPM) kompromittiert wurde.
Laut Guillemet ist der bösartige Code – der bereits in Pakete mit über 1 Milliarde Downloads eingeschleust wurde – darauf ausgelegt, bei Transaktionen stillschweigend Krypto-Wallet-Adressen auszutauschen. Das bedeutet, dass ahnungslose Nutzer Gelder direkt an den Angreifer senden könnten, ohne es zu bemerken.
Die Geschichte geht weiter
Guillemet nannte nicht den Entwickler, dessen Konto seiner Aussage nach kompromittiert wurde.
Der Vorfall unterstreicht, wie eng vernetzt Open-Source-Software ist und warum Sicherheitslücken in Entwickler-Tools nahezu sofort auf die Kryptoökonomie durchschlagen können.
Loading...
„NPM ist ein Werkzeug, das in der Softwareentwicklung mit JavaScript häufig verwendet wird und Entwicklern die Integration von Paketen erleichtert“, sagte Guillemet in einer Nachricht an CoinDesk. Wenn ein Angreifer das Konto eines Entwicklers kompromittiert, kann er bösartigen Code in weit verbreitete Pakete einschleusen.
„Der bösartige Code versucht, Benutzer auszurauben, indem er in Transaktionen oder allgemeinen On-Chain-Aktivitäten verwendete Adressen durch die Adresse des Hackers ersetzt,“ fügte Guillemet hinzu.
Guillemet betonte, dass, wenn eine dezentrale Anwendung oder eine Software-Wallet auf irgendeiner Blockchain diese JavaScript-Pakete enthält, diese kompromittiert werden könnten und Krypto-Nutzer daher ihre Gelder verlieren könnten.
„Die einzige sichere Methode, dem entgegenzuwirken, besteht darin, eine Hardware-Wallet mit einem sicheren Bildschirm zu verwenden, die Clear Signing unterstützt“, erklärte Guillemet gegenüber CoinDesk. „Dies ermöglicht es dem Nutzer, genau zu sehen, an welche Adressen Gelder gesendet werden, und sicherzustellen, dass diese mit den beabsichtigten Adressen übereinstimmen.“
"Hardware-Wallets ohne sichere Bildschirme und jede Wallet, die kein Clear Signing unterstützt, sind einem hohen Risiko ausgesetzt, da es unmöglich ist, die Genauigkeit der Transaktionsdetails zuverlässig zu überprüfen," fügte er hinzu.
"Es ist eine Gelegenheit, alle daran zu erinnern: Überprüfen Sie Ihre Transaktionen stets, unterschreiben Sie niemals blind, verwenden Sie eine Hardware-Wallet mit sicherem Display und bestätigen Sie alles mit Clear Sign," sagte Guillemet.
Weiterlesen: Ledger CTO geht auf Kritik am neuen Wallet-Wiederherstellungsdienst ein
AI-Haftungsausschluss: Teile dieses Artikels wurden mit Hilfe von KI-Tools erstellt und von unserem Redaktionsteam überprüft, um die Richtigkeit und Einhaltung Standards sicherzustellen. Weitere Informationen finden Sie unter CoinDesks vollständige KI-Richtlinie.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Solanas Drift startet Version 3 mit 10-fach schnelleren Handelsgeschwindigkeiten
Mit v3 gibt das Team an, dass etwa 85 % der Marktaufträge in weniger als einer halben Sekunde ausgeführt werden und die Liquidität so stark zunimmt, dass der Slippage bei größeren Transaktionen auf etwa 0,02 % sinkt.
What to know:
- Drift, eine der größten Plattformen für Perpetuals-Handel auf Solana, hat Drift v3 gestartet, ein bedeutendes Upgrade, das darauf abzielt, den On-Chain-Handel so schnell und reibungslos wie die Nutzung einer zentralisierten Börse zu gestalten.
- Die neue Version wird dank eines neu gestalteten Backends eine zehnmal schnellere Handelsausführung liefern und markiert damit den bisher größten Leistungssprung des Projekts.
Top-Geschichten
