FEHLER!

Solana SDK web3.js: Phishing-Attacke und gestohlene Kryptowährungen

Nutzer der JavaScript-Bibliothek web3.js für Solana haben kürzlich unwissentlich einen verräterischen Trojaner in ihren Projekten installiert. Sicherheitsforscher von Socket haben eine Supply-Chain-Attacke auf die Bibliothek aufgedeckt, bei der Schadcode in den Versionen 1.95.6 und 1.95.7 versteckt war. Diese Versionen enthielten schädlichen Code, der private Schlüssel stiehlt – das Tor zu Kryptowährungen aus Wallets.

Der Angriff scheint durch eine raffinierte Phishing-Kampagne auf die Maintainer von web3.js erfolgt zu sein. Die Angreifer erlangten mittels Social Engineering Zugriff auf das SDK und manipulierten es, bevor es in den öffentlichen Paketmanager npm gelangte. Solche Supply-Chain-Angriffe zielen nicht direkt auf einzelne Nutzer ab, sondern kompromittieren Softwarekomponenten, die dann weit verbreitet werden. Durch die Verunreinigung von web3.js wurden somit alle Entwickler, die diese Versionen verwendeten, indirekt angegriffen. Die Reichweite dieses Schadens ist daher enorm, da jede Anwendung, die das verseuchte SDK nutzt, automatisch den Trojaner enthält.

Die Sicherheitsforscher von Socket detaillieren in ihrem Bericht den Ablauf des Angriffs und geben konkrete Anweisungen, wie Entwickler betroffene Versionen identifizieren und betroffene Anwendungen aus dem Verkehr ziehen können. Parallel dazu wird dringend empfohlen, private Schlüssel als Vorsichtsmaßnahme zurückzusetzen, um potenzielle Verluste zu minimieren.

Gute Nachrichten: Inzwischen wurden die verseuchten Pakete von npm entfernt und eine gesäuberte Version 1.95.8 veröffentlicht. Die hohe Popularität von web3.js – mit knapp 350.000 Downloads pro Woche – macht es jedoch wichtig, die genauen Auswirkungen dieser Attacke zu ermitteln und weitere Präventionsmaßnahmen einzuleiten, um zukünftige Supply-Chain-Angriffe zu verhindern. Dieser Vorfall unterstreicht erneut die Notwendigkeit ständiger Wachsamkeit und Sicherheitsüberprüfungen in der Softwareentwicklung.

Schlagwörter: JavaScript SDK web3.js + npm + Solana

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 6. Dezember 2024