Close Menu
Crypto Valley Journal
    Facebook X (Twitter) Instagram
    Crypto Valley Journal
    • Aktuell
      • News
      • Köpfe
    • Fokus
      • Hintergrund
      • Blockchain
      • Legal/Compliance
      • Nicht-Fungible Token (NFTs)
    • Invest
      • Märkte
      • Finanzprodukte
      • Dezentrale Finanzen (DeFi)
      • Börsenübersicht
    • Wissen
      • Basiswissen
      • Glossar
      • Politiker zu Krypto
    • Statistiken
      • Bitcoin-ETF-Flows
      • Ethereum-ETF-Flows
      • Krypto-Marktdaten
      • On-Chain-Daten
    • Akademie
      • Übersicht
      • Teil 1: Blockchain
      • Teil 2: Geld
      • Teil 3: Bitcoin
      • Teil 4: Kryptowährungen
      • Teil 5: Dezentrale Finanzen
      • Teil 6: Investieren
    • Deutsch
      • English
    Crypto Valley Journal
    Sie sind hier:Home » Aktuell » News » NPM-Malware führt zu Krypto-Verlusten
    NPM-Malware führt zu Krypto-Verlusten

    NPM-Malware führt zu Krypto-Verlusten

    von Redaktion cvj.ch am 9. September 2025 News

    Cyberkriminelle haben zwei bösartige npm-Pakete entwickelt - colortoolsv2 und mimelib2 - die Entwickler-Umgebungen angreifen, indem sie Smart Contracts der Ethereum-Blockchain als Tarnmechanismus nutzen. Diese ausgefeilte Methode ermöglicht den Download schädlicher Software auf ungeahnte Weise.

    Die in Juli 2025 hochgeladenen npm-Pakete nutzen Ethereum-Smart-Contracts, um die URLs für Downloader-Malware zu verbergen. Bei der Nutzung innerhalb eines Projekts laden sie über diese Blockchain-Links Schadsoftware nach. Die Kampagne nutzt gezielte GitHub-Repositories und manipulierte Popularitätstaktiken, um Entwickler zu ködern. Aufgrund rascher Identifizierung der Sicherheitslücken hielt sich der entstandene Gesamtschaden in Grenzen, wie Hackernews berichtete.

    Abonnieren Sie unseren Newsletter

    Die besten Artikel der Woche direkt in ihre Mailbox geliefert.

    Wie funktionierte der Angriff?

    Sobald eines der Pakete (colortoolsv2 oder mimelib2) in einem Projekt eingebunden wird, aktiviert ein verschleierter Code einen Smart Contract auf der Ethereum-Blockchain, der die Adresse des nächsten Schadsoftware-Ladeorts enthält. Diese Methode - bekannt als „EtherHiding“ - versteckt den bösartigen Befehl geschickt vor traditionellen Scans. Die GitHub-Repositories, die diese Pakete verwendeten, gaben sich als legitime Trading-Bot-Projekte aus. Dahinter steckte ein Netzwerk (Stargazers Ghost Network), dessen gefälschte Accounts Repository-Zahlen manipulierten, um Vertrauen zu gewinnen.

    Diese Cyberangriffe erfolgen über sogenannte Supply-Chain-Attacken: bösartige Pakete werden indirekt über populäre Repositories verbreitet. Entwickler sollten daher Bibliotheken vor der Nutzung sorgfältig prüfen - insbesondere deren Herkunft, Maintainer und Code. Tools zur Analyse von Abhängigkeiten, Ketten und Smart Contract Aktivitäten können hier entscheidend Schutz bieten.

    Ray Dalio hält zwar selbst 1% seines Vermögens in Bitcoin, sieht die Kryptowährung gegenüber Gold aber als ungeeignetes Reserve-Asset. Köpfe

    Starinvestor Ray Dalio stuft Bitcoin als Gold unterlegen ein

    Die meisten Krypto-Karten verschweigen ihren Emittenten. Warum sich Schweizer Krypto-Karten unterscheiden, zeigt der Blick auf 141 Karten. Hintergrund

    Die Bank, die Sie nie gewählt haben: Wer Schweizer Krypto-Karten wirklich ausgibt

    Robinhood weitet seine Perpetual Futures in Europa auf Rohstoffe und Devisen aus und plant den Krypto-Launch in Grossbritannien. Finanzprodukte

    Robinhood erweitert europäische Perpetual Futures auf Rohstoffe

    Transparenz im Digital Finance basiert auf Proof of Reserves, Merkle Trees, MPC-Verwahrung und 24/7-Monitoring für Solvenznachweise. Basiswissen

    Transparenz als Fundament der Sicherheit im Digital Finance

    Ray Dalio hält zwar selbst 1% seines Vermögens in Bitcoin, sieht die Kryptowährung gegenüber Gold aber als ungeeignetes Reserve-Asset. Köpfe

    Starinvestor Ray Dalio stuft Bitcoin als Gold unterlegen ein

    Die meisten Krypto-Karten verschweigen ihren Emittenten. Warum sich Schweizer Krypto-Karten unterscheiden, zeigt der Blick auf 141 Karten. Hintergrund

    Die Bank, die Sie nie gewählt haben: Wer Schweizer Krypto-Karten wirklich ausgibt

    Was bedeutet das für Entwickler?

    Die Kombination aus Open-Source-Ökosystem und Blockchain-Technologie macht diesen Angriff besonders gefährlich. Während klassische Supply-Chain-Attacken oft auf manipulierte Bibliotheken setzen, bringt die Nutzung von Ethereum-Smart-Contracts eine zusätzliche Ebene der Verschleierung. Dadurch wird es für Sicherheitstools deutlich schwerer, die bösartige Aktivität frühzeitig zu erkennen.

    Sicherheitsforscher fordern deshalb verstärkte Zusammenarbeit zwischen Plattformen wie npm, GitHub und Blockchain-Analysten. Nur wenn bösartige Pakete schneller gemeldet, gesperrt und deren Smart Contract Infrastruktur enttarnt wird, lässt sich der Schaden begrenzen. Gleichzeitig mahnen Experten Entwickler, ihre Abhängigkeiten kontinuierlich zu überwachen und automatisierte Scans in die CI/CD-Pipelines zu integrieren.

    Share. Facebook Twitter LinkedIn Email Telegram WhatsApp

    Über den Autor

    Redaktion cvj.ch
    • Website
    • Twitter
    • LinkedIn

    Die Redaktion des Crypto Valley Journal berichtet seit 2018 aus Zug, dem Sitz des Schweizer Crypto Valley, über Bitcoin, Krypto, Blockchain und die regulatorische Entwicklung digitaler Vermögenswerte. Hinter der kollektiven Redaktionsstimme steht ein Team aus Autoren mit Hintergrund in Finanzmarkt, Recht und Technologie.

    Verwandte Artikel

    CVJ Wochenrückblick

    Wochenrückblick: 80 Mio. Bankkunden in Deutschland erhalten Krypto-Zugang

    JPMorgan stuft Strategys Verkäufe nicht als grösstes Bitcoin-Risiko ein und benennt Tokenisierung abseits öffentlicher Chains als Gefahr.

    JPMorgan verortet grösstes Bitcoin-Risiko abseits von Strategy

    AscendEX hat den Betrieb per 1. Juli mangels Liquidität und MiCA-Lizenz eingestellt; Nutzer erhalten keine Garantie auf volle Auszahlung.

    AscendEX-Betrieb eingestellt: Auszahlungen ungewiss

    US-Justizministerium lässt Anklage gegen BitClub-Drahtzieher Goettsche fallen, kurz vor dem Prozess um 722 Mio. USD Betrug.
    13. Juli 2026

    DOJ lässt Anklage gegen BitClub-Gründer Goettsche fallen

    CVJ Wochenrückblick
    11. Juli 2026

    Wochenrückblick: 80 Mio. Bankkunden in Deutschland erhalten Krypto-Zugang

    Die US-Bankenaufsicht OCC erteilt Circle National Trust die finale Genehmigung als Bundes-Trustbank für digitale Vermögenswerte.
    10. Juli 2026

    Circle erhält Lizenz für eine US-Trust-Bank durch OCC

    twitter bild button instagram bild button linkedin bild button youtube bild button

    Über Crypto Valley Journal
    Über Crypto Valley Journal

    Am Puls der Bewegung

    • Akademie
    • Kontakt
    • Werbung
    • Über uns
    • Partner
    • Impressum
    • Datenschutz
    • Disclaimer
    Suche

    Type above and press Enter to search. Press Esc to cancel.