Am 8. September 2025 wurde ein massiver Supply-Chain-Angriff auf npm bekannt: Angreifer übernahmen den Account eines Maintainers und injizierten Schadcode in 19 populäre Pakete – darunter chalk, debug, ansi-styles, strip-ansi und supports-color. Diese Bibliotheken erreichen zusammen über 2 Milliarden Downloads pro Woche.
So lief der Angriff ab:
- Startpunkt war eine Phishing-Kampagne gegen einen Maintainer, der über eine gefälschte npmjs-Seite (npmjs.help) seine Zugangsdaten preisgab.
- Angreifer veröffentlichten manipulierte Paketversionen, die als Web3-Drainer fungieren.
- Ziel: Krypto-Wallets kompromittieren, Transaktionen abfangen und Adressen unbemerkt austauschen.
- Betroffen sind mehrere Kryptowährungen (u. a. Ethereum, Bitcoin, Solana, Tron).
Risiko für Entwickler & Unternehmen:
- Wer in der fraglichen Zeit Builds oder Updates ohne Lockfiles durchgeführt hat, könnte kompromittierte Versionen eingebunden haben.
- Besonders gefährdet: Umgebungen, die Container neu gebaut oder
npm updateausgeführt haben.
