{"id":10442,"date":"2025-09-10T11:26:11","date_gmt":"2025-09-10T11:26:11","guid":{"rendered":"https:\/\/www.coinspeaker.com\/de\/?p=10442"},"modified":"2025-09-10T11:26:11","modified_gmt":"2025-09-10T11:26:11","slug":"gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen","status":"publish","type":"post","link":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/","title":{"rendered":"Gigantischer Phishing-Angriff: Systemrisiko bleibt bestehen"},"content":{"rendered":"

Ein gezielter Angriff auf das JavaScript-\u00d6kosystem hat am 8. September 2025 stattgefunden: \u00dcber Phishing-Mails verschafften sich Hacker Zugriff auf npm-Maintainer-Accounts und ver\u00f6ffentlichten manipulierte Versionen popul\u00e4rer Bibliotheken wie chalk<\/em> und debug<\/em>. Die Malware zielte dabei nicht auf Server, sondern auf Wallet-APIs im Browser, um Krypto-Transaktionen unbemerkt umzuleiten \u2013 ein Szenario mit enormem Schadpotenzial f\u00fcr Web3-Projekte. W\u00e4hrend der tats\u00e4chliche finanzielle Schaden dank schneller Reaktion \u00fcberraschend gering blieb, offenbart der Vorfall gravierende systemische Schwachstellen.<\/p>\n

Phishing-Angriff: Was genau passiert ist<\/h2>\n

Am Montag,\u00a08. September 2025, \u00fcbernahmen Angreifer den npm-Account des bekannten Maintainers\u00a0Josh Junon von Aikido \u201eQix\u201c\u00a0per t\u00e4uschend echter Zweifaktoren-Authenthifizierung Phishing-Mail von support@npmjs.help. Kurz darauf erschienen neue, kompromittierte Versionen mehrerer Basispakete, die in zahllosen Projekten transitiv eingebunden sind. Die Gr\u00f6\u00dfenordnung macht den Vorfall au\u00dfergew\u00f6hnlich: Sch\u00e4tzungen zufolge summieren sich die betroffenen Pakete auf\u00a0rund 2 bis 2,6 Milliarden\u00a0Downloads\u00a0pro Woche.<\/p>\n

Bereits wenige Stunden nach den ersten Meldungen gab es Unterst\u00fctzung:\u00a0Vercel<\/a>\u00a0identifizierte Build-Artefakte in Dutzenden Kundenprojekten und l\u00f6schte Caches, um verseuchte Bundles auszuliefern zu verhindern; parallel best\u00e4tigten Sicherheitsforscher die Kompromittierung und begannen, betroffene Versionen zu inventarisieren.<\/p>\n

\"\"<\/p>\n

So funktioniert die Malware<\/h2>\n

Der eingeschleuste Code zielte\u00a0nicht\u00a0auf Server, sondern auf\u00a0Endnutzer-Browser: Beim Laden einer betroffenen Web-App setzt sich die Payload zwischen Anwendung und Kern-APIs, indem sie etwa Wallet-Schnittstellen\u00a0oder\u00a0Solana-Signmethoden\u00a0\u201ewrappt\u201c. So lassen sich\u00a0Empf\u00e4ngeradressen, Spender (Approvals) und Transfer-Ziele\u00a0vor der Signatur unauff\u00e4llig ersetzen \u2013 einschl.\u00a0Look-alike-Substitution\u00a0anhand der\u00a0Levenshtein-Distanz, damit UI-Pr\u00fcfblicke nichts auff\u00e4llt. Unterst\u00fctzt wurden u. a.\u00a0ETH, BTC, SOL, TRX, LTC, BCH. ee<\/p>\n

Node-only-Backends\u00a0ohne Client-Auslieferung waren deutlich weniger ausgesetzt. Risiko bestand dort, wo kompromittierte Versionen\u00a0in Frontend-Bundles\u00a0landeten und\u00a0an die User ausgeliefert wurden.<\/p>\n

Ein kompaktes Update zu\u00a0Wallet-Typen, Sicherheit und Self-Custody\u00a0liefert unser aktueller\u00a0Krypto Wallet Vergleich 2025.<\/a><\/p>\n

Auf welche Summe sich der Schaden bel\u00e4uft<\/h2>\n

Trotz des gewaltigen\u00a0Reach\u00a0sind zun\u00e4chst nur\u00a0minimalen on-chain Abfl\u00fcsse zu nennen: Die\u00a0Security Alliance (SEAL)<\/a>\u00a0dokumentiert rund\u00a05 Cent in ETH\u00a0plus ca.\u00a020 US-Dollar\u00a0eines illiquiden Memecoins.<\/p>\n

Damit ist zwar wenig Schaden angerichtet worden, dennoch ist das Problem systemisch: weltweit abgerufene Incident-Response-Ressourcen, Neu-Builds, Cache-Invalidierungen und Audits; diesmal nicht die unmittelbare Kryptobeute.<\/p>\n

Vercel<\/a>\u00a0schreibt es h\u00e4tte 70 Teams\/76 Projekte gegeben\u00a0und beschreibt eine Response-Timeline mit aktivierter Incident-Response um\u00a017:39 UTC\u00a0und Cache-Purge um\u00a022:19 UTC\u00a0\u2013 ein Beispiel, wie schnell sich Kompromittierungen in moderne Deploy-Ketten fortpflanzen, selbst bei kurzem Exposure-Fenster.<\/p>\n

Der Pishing-Angriff geht in die zweite Runde<\/h2>\n

Am\u00a09. September\u00a0meldete Aikido<\/a> eine\u00a0zweite Welle: Bei\u00a0DuckDB\u00a0wurden vier npm-Artefakte mit identischer Drainer-Logik ver\u00f6ffentlicht. Die offizielle\u00a0GitHub-Advisory sowie Analysen von Aikido\/Semgrep best\u00e4tigen die Paket- und Versionsst\u00e4nde. Vorweg ging erneut eine Phishing-Mail ein, dass die Zwei-Faktor-Authentifizierung geupdatet werden solle. Es handelt sich wom\u00f6glich um eine fortgesetzte Kampagne.<\/p>\n

\"\"<\/p>\n

Phishing, Payload, Pr\u00e4vention: Was der NPM-Hack \u00fcber Web3 zeigt<\/h2>\n

Die Malware grefit den letzten Schritt in einer Transaktion an \u2013\u00a0vor\u00a0der Signatur. Indem Payloads Requests und Antworten manipulieren und\u00a0Wallet-APIs\u00a0abfangen, reichen kleine UI-T\u00e4uschungen und \u00e4hnlich aussehende Adressen, um\u00a0Einzahlungen, Token-Transfers oder ERC-20-Approvals\u00a0unbemerkt umzuleiten.<\/p>\n

F\u00fcr Web3-Frontends, B\u00f6rsen-Widgets, Tipping-Integrationen oder NFT-Mints ist dieses Angriffsprofil deshalb besonders heikel. Aber auch wer Bitcoin verwahrt, sollte sich nicht zur\u00fccklehnen. Finde hier in unserem\u00a0Bitcoin Wallet Vergleich 2025<\/a>\u00a0praktische Gegen\u00fcberstellungen von Hardware- und Software-Optionen.<\/p>\n

Einordnung: Black-Swan verhindert \u2013 Lektionen bleiben<\/h2>\n

Gemessen an Reichweite und Paket-Prominenz geh\u00f6rt der Vorfall zu den\u00a0gr\u00f6\u00dften Supply-Chain-Zwischenf\u00e4llen\u00a0im JavaScript-\u00d6kosystem. Dass die direkte Kryptobeute so klein blieb, lag an\u00a0rascher Erkennung,\u00a0schneller Entfernung\u00a0kompromittierter Releases,\u00a0Pager-Duty-\u00e4hnlicher Reaktion\u00a0gro\u00dfer Plattformen \u2013 und an einer\u00a0technischen Panne\u00a0im Payload-Design.<\/p>\n

F\u00fcr das Krypto-\u00d6kosystem bleibt jedoch der Befund:\u00a0Upstream-Vertrauen\u00a0ist ein Single Point of Failure. Ohne\u00a0Pinning,\u00a0Provenance,\u00a0Registrierungs-Blocklisten\u00a0und\u00a0Defense-in-Depth\u00a0in Build-Pipelines (bis zur automatischen Cache-Invalidierung) werden \u00e4hnliche Angriffe wiederkehren.<\/p>\n

Dass Cyber-Bedrohungen immer prominenter werden zeigt auch unser weiterf\u00fchrender Artikel: USA jagen Krypto-Knotenpunkt der russischen Cybermafia<\/a>.<\/p>\nnext<\/a>","protected":false},"excerpt":{"rendered":"

Gro\u00dfer NPM-Supply-Chain-Angriff legt Wallet-Risiken offen. Schaden bel\u00e4uft sich auf wenige Cent-Betr\u00e4ge, aber Web3-Frontends sind weiter verwundbar.<\/p>\n","protected":false},"author":184,"featured_media":10445,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10,3],"tags":[374,407,379],"class_list":["post-10442","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blockchain-news","category-crypto","tag-bitcoin","tag-ethereum","tag-solana"],"acf":[],"yoast_head":"\nGigantischer Phishing-Angriff: Systemrisiko bleibt bestehen - Coinspeaker Deutschland<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Gigantischer Phishing-Angriff: Systemrisiko bleibt bestehen - Coinspeaker Deutschland\" \/>\n<meta property=\"og:description\" content=\"Gro\u00dfer NPM-Supply-Chain-Angriff legt Wallet-Risiken offen. Schaden bel\u00e4uft sich auf wenige Cent-Betr\u00e4ge, aber Web3-Frontends sind weiter verwundbar.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/\" \/>\n<meta property=\"og:site_name\" content=\"Coinspeaker Deutschland\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-10T11:26:11+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/09\/Gigantischer-Angriff-auf-Supply-Chain-Systemrisiko-bleibt-bestehen.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Pia Messerschmitt\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Pia Messerschmitt\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"4\u00a0Minuten\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Gigantischer Phishing-Angriff: Systemrisiko bleibt bestehen - Coinspeaker Deutschland","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/","og_locale":"de_DE","og_type":"article","og_title":"Gigantischer Phishing-Angriff: Systemrisiko bleibt bestehen - Coinspeaker Deutschland","og_description":"Gro\u00dfer NPM-Supply-Chain-Angriff legt Wallet-Risiken offen. Schaden bel\u00e4uft sich auf wenige Cent-Betr\u00e4ge, aber Web3-Frontends sind weiter verwundbar.","og_url":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/","og_site_name":"Coinspeaker Deutschland","article_published_time":"2025-09-10T11:26:11+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/09\/Gigantischer-Angriff-auf-Supply-Chain-Systemrisiko-bleibt-bestehen.jpg","type":"image\/jpeg"}],"author":"Pia Messerschmitt","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Pia Messerschmitt","Est. reading time":"4\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/","url":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/","name":"Gigantischer Phishing-Angriff: Systemrisiko bleibt bestehen - Coinspeaker Deutschland","isPartOf":{"@id":"https:\/\/www.coinspeaker.com\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/#primaryimage"},"image":{"@id":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/#primaryimage"},"thumbnailUrl":"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/09\/Gigantischer-Angriff-auf-Supply-Chain-Systemrisiko-bleibt-bestehen.jpg","datePublished":"2025-09-10T11:26:11+00:00","author":{"@id":"https:\/\/www.coinspeaker.com\/de\/#\/schema\/person\/b121a775cc42e434131a7883ccd5097d"},"breadcrumb":{"@id":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/#primaryimage","url":"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/09\/Gigantischer-Angriff-auf-Supply-Chain-Systemrisiko-bleibt-bestehen.jpg","contentUrl":"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/09\/Gigantischer-Angriff-auf-Supply-Chain-Systemrisiko-bleibt-bestehen.jpg","width":1280,"height":720},{"@type":"BreadcrumbList","@id":"https:\/\/www.coinspeaker.com\/de\/gigantischer-phishing-angriff-systemrisiko-bleibt-bestehen\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.coinspeaker.com\/de\/"},{"@type":"ListItem","position":2,"name":"Gigantischer Phishing-Angriff: Systemrisiko bleibt bestehen"}]},{"@type":"WebSite","@id":"https:\/\/www.coinspeaker.com\/de\/#website","url":"https:\/\/www.coinspeaker.com\/de\/","name":"Coinspeaker Deutschland","description":"Bitcoin, Ethereum, Altcoins und Krypto-News mit Analysen, Live-Preisen, Daten-Charts und Anleitungen","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.coinspeaker.com\/de\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Person","@id":"https:\/\/www.coinspeaker.com\/de\/#\/schema\/person\/b121a775cc42e434131a7883ccd5097d","name":"Pia Messerschmitt","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/www.coinspeaker.com\/de\/#\/schema\/person\/image\/","url":"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/06\/cropped-Bildschirmfoto-2025-06-13-um-2.17.32\u202fPM-96x96.png","contentUrl":"https:\/\/www.coinspeaker.com\/de\/wp-content\/uploads\/sites\/2\/2025\/06\/cropped-Bildschirmfoto-2025-06-13-um-2.17.32\u202fPM-96x96.png","caption":"Pia Messerschmitt"},"description":"Pia ist Web3- und AI-Enthusiastin. Als studierte Geisteswissenschaftlerin liebt sie es, den Zeitgeist innerhalb der Gesellschaft zu beobachten und zu analysieren. Ehemalig im Think Tank und Forschungszentrum der Frankfurt School of Finance als Bitcoin-Talent und NFT-Talent im Frankfurt Blockchain Center. Wenn sie nicht gerade schreibt, surft sie gerne am Atlantik.","sameAs":["https:\/\/www.google.com\/url?sa=t&source=web&rct=j&opi=89978449&url=https:\/\/pt.linkedin.com\/in\/pia-messerschmitt-5a0a331b9&ved=2ahUKEwjY07Skm-eNAxVSUKQEHTKbOwYQFnoECBYQAQ&usg=AOvVaw25gvK04f-RENp7osWPAvtO"],"url":"https:\/\/www.coinspeaker.com\/de\/author\/piam\/"}]}},"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/posts\/10442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/users\/184"}],"replies":[{"embeddable":true,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/comments?post=10442"}],"version-history":[{"count":2,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/posts\/10442\/revisions"}],"predecessor-version":[{"id":10447,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/posts\/10442\/revisions\/10447"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/media\/10445"}],"wp:attachment":[{"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/media?parent=10442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/categories?post=10442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.coinspeaker.com\/de\/wp-json\/wp\/v2\/tags?post=10442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}