Supply-Chain-Angriff auf NPM-Paket!

In den vergangenen Tagen wurden in mehreren weitverbreiteten NPM-Paketen wie z. B. error-ex bösartige Versionen entdeckt. Diese unscheinbaren Software-Bauteile werden wöchentlich tatsächlich rund 2 Milliarden Mal heruntergeladen und stecken damit in unzähligen JavaScript-Anwendungen.

Am einfachsten kann man sich ein NPM-Paket wie einen Lego-Baustein für Software vorstellen. Anstatt dass jeder Entwickler jede Funktion selbst schreibt, greift er auf kleine fertige Bausteine zurück, etwa ein Paket, das Zahlen rundet oder Fehlermeldungen übersichtlicher macht.

Diese Bausteine werden über die Plattform NPM (Node Package Manager) verteilt, die so etwas wie ein gigantischer App-Store für Entwickler ist. Auch wenn ein Paket oft nur wenige Zeilen Code enthält, kann es in Millionen Projekten gleichzeitig eingebaut sein. Wird ein solches Paket manipuliert, betrifft das also auf einen Schlag sehr viele Anwendungen und damit potenziell auch Millionen Nutzer.

Manipulierte Versionen z. B. von Paketen wie ansi-styles, debug oder error-ex enthielten Code, der Krypto-Adressen im Browser austauschte. Wer also Bitcoin an eine bestimmte Adresse senden wollte, lief Gefahr, dass im Hintergrund heimlich eine Angreifer-Adresse eingefügt wurde.

Besonders heimtückisch war dabei: Der Angriff nutzte den sogenannten Levenshtein-Algorithmus, um die falsche Adresse der echten optisch stark anzugleichen. Damit sollte die gängige Praxis, nur die ersten und letzten Zeichen einer Adresse zu prüfen, gezielt unterlaufen werden.

Auffällig war außerdem, dass der Schadcode nicht im offiziellen GitHub-Repository auftauchte, sondern nur in der auf NPM hochgeladenen Version. Das deutet darauf hin, dass der oder die Angreifer Zugriff auf den Veröffentlichungsprozess hatten.

Ein automatisiertes CI-Monitoring entdeckte die schadhaften Versionen kurz nach Veröffentlichung. NPM entfernte sie daraufhin rasch wieder. Dennoch bleibt das Risiko bestehen, dass Entwickler, die ihre Abhängigkeiten nicht fest „eingefroren“ haben, die manipulierte Version automatisch installiert bekamen.

Für die Bitcoin- bzw. Krypto-Community ist dieser Vorfall natürlich besonders relevant:

• Viele Wallets, Börsen und Block-Explorer setzen auf JavaScript und NPM-Pakete.
• Ein kompromittiertes Paket kann dazu führen, dass falsche Adressen angezeigt oder im Hintergrund manipuliert werden.
• Selbst wer vorsichtig ist und Adressen manuell prüft, kann durch Tricks wie den Levenshtein-Algorithmus getäuscht werden.

Die wichtigste Konsequenz: Bitcoin-Transaktionen sollten bestenfalls immer und vollständig auf einer Hardware-Wallet mit eigenem Display bestätigt werden. Nur so wird die Zieladresse unabhängig angezeigt und man kann zweifelsfrei sicherstellen, dass die Coins tatsächlich beim gewünschten Empfänger landen.

Besonders betroffen von einem solchen Angriff sind Browser- und Web-Wallets, da sie direkt in der Umgebung laufen, in der manipulierte Software-Bausteine wie das NPM-Paket eingebunden werden. Wird dort die Anzeige der Zieladresse verfälscht, können Nutzer kaum erkennen, ob ihre Bitcoin tatsächlich an den gewünschten Empfänger gesendet werden.

Genau deshalb ist der Einsatz einer Hardware-Wallet wie z. B. der BitBox02 Nova so entscheidend. Sie trennt die Schlüsselverwaltung von der unsicheren Computer- oder Browser-Umgebung und zeigt die relevanten Transaktionsdetails unabhängig an.

Aber Achtung: Nur Hardware-Wallets mit eigenem Display bieten echten Schutz. Fehlt (wie bei einigen gängigen Geräten z. B. der Tangem-Wallet) das Display, werden die Informationen ausschließlich auf dem – potenziell kompromittierten – Endgerät angezeigt. In diesem Fall unterscheidet sich eine solche Lösung sicherheitstechnisch kaum von einer gewöhnlichen Software-Wallet.

Nur wenn die Transaktionsdaten direkt auf dem Display der Hardware-Wallet überprüft werden können, lässt sich zweifelsfrei sicherstellen, dass die richtige Adresse und der korrekte Betrag signiert werden!

Laut der zuverlässigen Blockchain-Analyseplattform Arkham Intelligence konnten die Verantwortlichen hinter dem Angriff bislang anscheinend lediglich Krypto-Werte im Wert von rund 500 US-Dollar erbeuten – darunter keine Bitcoin.

Einige Dienstleister meldeten sich überdies bereits zu Wort, um zu betonen, dass sie nicht davon betroffen seien – darunter der bekannte Wallet-Dienst Electrum, die Bitcoin-Broker Coinfinity und 21bitcoin sowie der Hardware-Wallet-Hersteller BitBox.

Dennoch: Dieser Vorfall verdeutlicht, wie unerlässlich die Nutzung einer Hardware-Wallet mit Bildschirm ist, um sogar im „Worst Case“ sicher aufgestellt zu sein.