Wichtige Hinweise
- Bösartiger Code wurde zwischen dem 21. und 23. November in @ensdomains-Pakete eingeschleust und zielte auf Entwickler-Zugangsdaten bei GitHub, npm und Cloud-Diensten ab.
- Der Angriff verbreitete sich über kompromittierte Maintainer-Konten und wurde automatisch während Standard-Installationsbefehlen ausgeführt.
- Betroffene Pakete umfassen gate-evm-check-code2, create-hardhat3-app, ethereum-ens und über 40 Bibliotheken im @ensdomains-Bereich.
Ethereum Name Service ENS $11,61 24h Volatilität: 4,0% Marktkapitalisierung: $439,48 M Vol. 24h: $72,23 M Softwarepakete wurden bei einem Supply-Chain-Cyberangriff kompromittiert, der über 400 Code-Bibliotheken auf npm betraf, einer Plattform, auf der Entwickler Softwaretools teilen und herunterladen. ENS Labs teilte mit, dass Benutzervermögen und Domainnamen offenbar nicht betroffen sind.
Das Team entdeckte, dass Pakete, die mit @ensdomains beginnen, um 5:49 Uhr UTC am 24. November betroffen waren und hat seitdem die Paketversionen aktualisiert sowie Sicherheitsanmeldeinformationen geändert, so ENS Labs. Von ENS betriebene Websites, einschließlich app.ens.domains, zeigten keine Anzeichen einer Beeinträchtigung.
Wir haben festgestellt, dass bestimmte npm-Pakete, die heute um 5:49 Uhr UTC unter @ensdomains veröffentlicht wurden, möglicherweise von einem Sha1-Hulud-Supply-Chain-Angriff betroffen sind, der über 400 NPM-Bibliotheken kompromittiert hat, darunter mehrere ENS-Pakete.
Das Team hat alle neuesten Tags aktualisiert und ist…
— ens.eth (@ensdomains) 24. November 2025
Der Angriff kompromittierte laut Aikido Security, das die Kampagne am 24. November zuerst entdeckte, auch Pakete von Zapier, PostHog, Postman und AsyncAPI.
Krypto-Pakete unter den Opfern
Mehrere Blockchain-Entwicklungsbibliotheken wurden von dem breit angelegten Angriff erfasst. Betroffene Pakete umfassen gate-evm-check-code2 und evm-checkcode-cli, die zur Verifizierung von Smart-Contract-Bytecode verwendet werden, create-hardhat3-app für Ethereum ETH $2 964 24h Volatilität: 4,8% Marktkapitalisierung: $357,84 B Vol. 24h: $32,76 B Projektgerüste und coinmarketcap-api zur Integration von Preisdaten.
Weitere betroffene Krypto-Bibliotheken sind ethereum-ens und crypto-addr-codec, das für die Kodierung von Kryptowährungsadressen zuständig ist. Über 40 Pakete im @ensdomains-Bereich wurden kompromittiert.
Der Vorfall erinnert an eine Hintertür, die im April in XRP Ledger-Paketen entdeckt wurde, bei der bösartiger Code in xrpl.js eingeschleust wurde, um private Schlüssel zu stehlen.
So funktioniert der Angriff
Bösartige Pakete wurden zwischen dem 21. und 23. November auf npm hochgeladen. Die Malware verbreitet sich, indem sie Maintainer-Konten kompromittiert und Code in deren Pakete einschleust. Sie wird automatisch ausgeführt, wenn Entwickler Standard-Installationsbefehle ausführen.
Die Malware sammelt Entwicklerpasswörter und Zugriffstoken von GitHub, npm und großen Cloud-Diensten. Sie veröffentlicht gestohlene Daten in öffentlichen GitHub-Repositories und erstellt versteckte Zugangspunkte auf infizierten Maschinen für zukünftige Angriffe.
Eine GitHub-Suche zeigt, dass jetzt 26.300 Repositories gestohlene Zugangsdaten enthalten, verteilt auf etwa 350 kompromittierte Konten. Die Zahl wächst weiter, da der Angriff weiterhin aktiv ist.
Koi Security-Forscher entdeckten eine zusätzliche Bedrohung. Wenn die Malware keine Zugangsdaten stehlen oder Daten versenden kann, löscht sie alle Dateien im Home-Verzeichnis des Nutzers.
Reaktion der Entwickler
ENS Labs erklärte, dass Entwickler, die innerhalb von 11 Stunden nach der Entdeckung um 5:49 Uhr UTC keine ENS-Pakete installiert haben, wahrscheinlich nicht betroffen sind. Wer in diesem Zeitraum installiert hat, sollte seine node_modules-Ordner löschen, den npm-Cache leeren und alle Zugangsdaten ändern.
Der Vorfall folgt auf eine Reihe von Krypto-Sicherheitsverletzungen, die Infrastrukturprojekte in diesem Jahr auf die Probe gestellt haben. GitHub entfernt aktiv von Angreifern erstellte Repositories, obwohl ständig neue auftauchen.
next
