Axios, eine der beliebtesten JavaScript-Bibliotheken, könnte kompromittiert sein und in einen Krypto-Wallet-Angriff verwickelt sein. Der npm-Paket-Angriff wird immer häufiger und greift direkt Projekte, Entwickler und Endnutzer an.
Ein Axios npm-Paket wurde in der offiziellen JavaScript-Bibliothek veröffentlicht und nur wenige Stunden später wieder zurückgezogen. On-Chain-Sicherheitsexperten fingen den Angriff ab, der etwa drei Stunden aktiv war.
Die npm-Pakete wurden über die Zugangsdaten von @jasonsaayman kompromittiert, während Forscher noch nach Anzeichen suchten, dass das Konto kompromittiert wurde. Die betroffenen Pakete wurden als [email protected] und [email protected] identifiziert.
Wie Cryptopolitan zuvor berichtete, zielen npm-Angriffe oft auf Krypto-Wallets ab und sind besonders riskant für dezentralisierte Projekte mit großen Team-Beständen.
Was geschah beim Axios npm-Angriff?
StepSecurity gehörte zu den ersten, die das Problem identifizierten. Zwei bösartige Versionen der Axios HTTP-Client-Bibliothek wurden über die kompromittierten Zugangsdaten eines leitenden Axios-Maintainers veröffentlicht und umgingen dabei die normale Veröffentlichungs-Pipeline auf GitHub.
Laut StepSecurity war dies der ausgeklügeltste Angriff auf ein weit verbreitetes Top-10-npm-Paket. Die bösartige Paketversion injiziert eine neue Abhängigkeit, [email protected], die nicht im axios-Quellcode importiert wird. Die Abhängigkeit führt ein Post-Install-Skript aus, das auf allen Betriebssystemen aktiv ist.
Nach der Verwendung des npm wird der Client mit einem Remote-Access-Trojaner-Dropper infiziert, der über einen aktiven Server verfügt und die Payloads ausliefert. Die Malware löscht sich auch selbst und ersetzt die verdächtige .json-Datei durch eine saubere Version, um der Erkennung zu entgehen.
Welche Arten von Projekten waren betroffen?
Die npm-Pakete gehörten zu den beliebtesten mit bis zu 100 Millionen wöchentlichen Downloads. Zu diesem Zeitpunkt gibt es jedoch keine Berichte über unbefugte Kryptowährung-Bewegungen. Zuvor führte ein npm-Angriff zu nur 1.000 $ an Krypto-Verlusten durch obskure Token.
Die einzige Möglichkeit, bösartige npm einzuschränken, besteht darin, Versionen zu verfolgen und keine automatisierten Upgrades zuzulassen oder neue Versionen auf potenziell bösartige Uploads zu überprüfen.
Forscher entdeckten auch zwei zusätzliche bösartige Pakete, die Payloads auf die gleiche Weise auslieferten – @shadanai/openclaw und @qqbrowser/openclaw-qbot. Der Angriff folgt der LiteLLM-Schadcode-Injektion nur eine Woche später.
Es gibt keine Berichte darüber, dass Web3- oder OpenClaw-Projekte betroffen waren oder Kryptowährung gestohlen wurde, während der Dauer des Angriffs. Es wurden jedoch Warnungen ausgegeben, dass npm-Angriffe nun zur Norm werden könnten, entweder durch gestohlene Zugangsdaten oder unbefugte Veröffentlicher. Die Bedrohung folgt früheren Warnungen vor bösartigem Code, der die OpenClaw-Skill-Plattform nutzt.
Die Pakete sind nicht auf Web3- oder Bot-Projekte beschränkt und können alle Payloads betreffen, die mit Krypto-Wallets verbunden sind. Der Vertrauensverlust in npm- und pip-Installationen für Python kann auch das allgemeine Vertrauen in das Bibliotheks-Ökosystem untergraben, mit Forderungen nach einem sichereren Upload-Pfad.
Die Verwendung von AI Agents kann auch zu wahllosem Herunterladen von Paketen führen und die Bedrohung verbreiten. Die tatsächlichen Auswirkungen auf Krypto-Wallets sind möglicherweise nicht sofort sichtbar, aber sie legen potenziell Wallet-Daten offen.
Ihre Bank verwendet Ihr Geld. Sie bekommen die Reste. Sehen Sie sich unser kostenloses Video darüber an, wie Sie Ihre eigene Bank werden
Quelle: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
