Hacker greift ETH- und SOL-Entwickler über Typosquat-npm-Pakete an

CryptopolitanMar 27, 2026 11:30 AM

Ethereum und Solana Entwickler wurden Ziel von fünf bösartigen npm-Paketen, die private Schlüssel stehlen und an den Angreifer senden. Die Pakete nutzen Typosquatting, um legitime Kryptobibliotheken nachzuahmen.

Sicherheitsforscher von Socket entdeckten fünf schädliche npm-Pakete, die über ein einziges Konto veröffentlicht wurden. Die Schadsoftware-Kampagne betrifft die Ethereum und Solana Ökosysteme und nutzt eine aktive Command-and-Control-Infrastruktur (C2).

Eines der Pakete wurde innerhalb von fünf Minuten wieder entfernt, aber es verbarg seinen Code und übermittelte gestohlene Daten an den Angreifer.

Hacker zielen auf Ethereum und Solana -Entwickler ab

Krypto-Hacker nicht nur auf Kleinanleger und ältere Menschen ab. Sie nutzen Social-Engineering-Taktiken und Typosquatting, um Entwickler zu täuschen und deren Kryptowährung zu stehlen.

Typosquatting ist eine Taktik, bei der Angreifer gefälschte Pakete mit Namen erstellen, die bekannten Bibliotheken ähneln. Entwickler installieren diese schädlichen Pakete möglicherweisedent, da sie sie für legitim halten.

Die Aufgabe der Schadsoftware besteht darin, die Schlüssel an einen fest codierten Telegram-Bot umzuleiten.

Der bösartige npm-Angriff funktioniert, indem er Funktionen abfängt, die Entwickler zum Übergeben privater Schlüssel verwenden. Beim Aufruf einer Funktion sendet das Paket den Schlüssel an den Telegram-Bot des Angreifers, bevor es das erwartete Ergebnis zurückgibt. Dadurch bleibt der Angriff für die ahnungslosen Entwickler unbemerkt.

Laut Sicherheitsforschern zielen vier Pakete auf Solana -Entwickler ab, während ein Paket Ethereum -Entwickler im Visier hat.

Solana, Ethereum -Entwickler von Typosquat-npm-Paketen angegriffen. — Schädliche npm-Pakete vs. legitime Kryptobibliotheken. Quelle: Socket .

Die vier Pakete, die auf Solana abzielen, fangen Base58 decode()-Aufrufe ab, während das ethersproject-wallet-Paket auf den Ethereum Wallet-Konstruktor abzielt.

Alle schädlichen Pakete nutzen `global fetch`, wofür Node.js 18 oder höher erforderlich ist. Bei älteren Versionen schlägt die Anfrage ohne Fehlermeldung fehl, und es werden keine Daten gestohlen.

Alle Pakete senden Daten an denselben Telegram- Endpunkt. Bot-Token und Chat-ID sind in jedem Paket fest codiert, und es gibt keinen externen Server. Der Kanal funktioniert also, solange der Telegram-Bot online ist.

Das Paket raydium-bs58 ist das einfachste. Es modifiziert eine Dekodierungsfunktion und sendet den Schlüssel, bevor es das Ergebnis zurückgibt. Die README-Datei wurde von einem offiziellen SDK kopiert, und das Feld für den Autor ist leer.

Das zweite Solana Paket, base-x-64, verschleiert die Nutzlast. Die Nutzlast sendet eine Nachricht mit dem gestohlenen Schlüssel an Telegram.

Das Paket bs58-basic enthält selbst keinen bösartigen Code, ist aber von base-x-64 abhängig und leitet die Nutzlast durch die Kette weiter.

Das Ethereum -Paket „ethersproject-wallet“ kopiert die Originalbibliothek „@ethersproject/wallet“. Das manipulierte Paket fügt nach der Kompilierung eine zusätzliche Zeile ein. Die Änderung ist nur in der kompilierten Datei sichtbar, was auf eine manuelle Manipulation hindeutet.

Alle Pakete verwenden denselben Befehlsendpunkt, dieselben Tippfehler und dieselben Build-Artefakte. Zwei Pakete nutzendentkompilierte Dateien. Ein weiteres Paket ist direkt vom anderen abhängig. Diese Verknüpfungen verweisen auf einen einzelnen Akteur, der denselben Workflow verwendet.

Sicherheitsforscher haben bei npm Anträge auf Entfernung der entsprechenden Anwendung eingereicht. Die durch diesen Angriff verlorenen privaten Schlüssel sind kompromittiert, und alle damit verbundenen Guthaben sollten umgehend auf eine neue Wallet übertragen werden.

Hacker haben es weiterhin auf Krypto- Entwickler abgesehen. Laut Cryptopolitan gelang es Hackern, 178 macOS -Entwickler mit einem gefälschten OpenClaw-Installer zu infizieren. Der gefälschte Installer, genannt GhostClaw, war eine Zeit lang im npm-Repository gelistet, bevor er entfernt wurde. Er war darauf ausgelegt, private Schlüssel, Seed-Phrasen und andere sensible Daten zu stehlen.

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos .

Haftungsausschluss: Die auf dieser Website bereitgestellten Informationen dienen ausschließlich Bildungs- und Informationszwecken und stellen keine Finanz- oder Anlageberatung dar