Link zur News:
https://www.3dcenter.org/news/news-des-9-september-2025

Heise berichten über einen erfolgreichen Phising-Angriff auf einen Maintainer von wichtigen NPM-Pakete des Javascript-Ökosystems. In Folge dessen wurden in dessen betreuten NPM-Paketen Malwarecode eingebettet, welcher versucht, Krypto-Transaktionen umzuleiten. Jene NPM-Pakete erreichen zusammen Milliarden Downloads pro Woche, sind ergo weit verbreitet. Leider hat keiner der hierzu gelesenen Berichte genauer ausgeführt, wie daraus dann exakt die Bedrohung für den Normalnutzer entsteht – oder ob am Ende nur die Systeme von Software-Entwicklern selber in Gefahr sind.
Laut Ars (https://arstechnica.com/security/2025/09/software-packages-with-more-than-2-billion-weekly-downloads-hit-in-supply-chain-attack/):
According to an analysis from security firm Akido, the malicious code injects itself into the web browser of infected systems and begins monitoring for transfers involving ethereum, bitcoin, solana, tron, litecoin, and bitcoin cash currencies. When such transactions are detected, the infected packages would then replace the destination wallets with attacker-controlled addresses.

Ja, aber das betrifft ja nur die Systeme, wo mit diesen NPM-Paketen hantiert wird. Aber wie kommen die auf die Nutzersysteme? Oder sind wirklich nur Entwickler betroffen? Oder auch die von denen erstellte Software? DAS ist die Frage. Hat damit auch Ars nicht beantwortet.

NPM ist ein Bibliotheken-Verteilungssystem für Javascript. Sind also einige JS-Bibliotheken verseucht dann werden sie vom Browser des Website-Besuchers geladen und ausgeführt. So kommen sie auf die Nutzersysteme.

Welcher Nutzer, dass ist die Frage. Entwickler oder Normalanwender? Das mit dem Browser ist mir schon lange klar, das muß nicht mehr weiter ausgeführt werden.

Wenn die Entwickler ein versuchtes Paket in ihre Webapp einkompilieren dann bekommt auch der Normalanwender dieses Paket ab.

Ok, danke. Und welche sind das? Die Namen der NPM-Pakete sagen schließlich dem Normalanwender gar nix. Erst nachdem man ungefähr weiss, was das ist, kann man abschätzen, wie groß das Drama ist. Ist es reguläre Software - oder nur Webapps (weil eben JS)? LM Studio benutzt anscheinend auch node.js, wäre also auch potentiell betroffen.

Das lässt sich tatsächlich extrem schwer abschätzen. Potentiell ist auch jede Software betroffen, die im Kern eine Webanwendung ist, also auch sowas wie Discord, Teams, Visual Studio Code etc. Auch wenn diese Anwendungen normalerweise nicht dazu benutzt werden um irgendwelche Krypto-Tokens zu verwalten.

Und womöglich ist das Problem auch schon wieder weg. Denn wenn NPM die Lücke geschlossen hat und die Biliotheken-Betreuer die Bibliotheken bereinigt haben dann wird automatisch eine gefixte Version der Webapps ausgerollt.

Ok, danke. Und welche sind das?

Wenn die Anwendung bzw. der Hersteller sich darum nicht kümmert sollte man tunlichst zu sehen das man diese Anwendung schnellstens los wird.
Ansonsten ist NPM & Co notorisch anfällig für so einen Mist. Ist ja nicht das erste Mal.

Also bei MLID lief die überraschende News zu AMDs künftigen Radeon Chiplets schon zum Magnus-Beitrag am 18. Juli mit Follow-Up am 25. Juli zu RDNA5 auch mit Bridge-Anbindung des Chiplet und den ATx-Varianten.
Das was Anton Shilov da zusammenschreibt war doch nur allgemeines Spekulieren, aber CDNA hat längst Chiplets und der Leak zu Chiplet-RDNA5 war schon 1 Monat alt. Der andere Tweet zu Radeon-Chiplets ist m.M. nur ein MeeToo Gekritzel um sich interessant zu machen.... nix Neues.

Bei dem NPM Angriff sind Bibliotheken wie Chalk verseucht wurden. Damit kann man Konsolenausgaben mit ANSI-Codes einfärben. Obwohl Extreme da normalerweise absolut Recht hat, sind hier Webanwendungen eben nicht das Ziel sondern man kann weitere Server infizieren wo eben Konsolenausgaben benutzt werden. zB Build-Server die Anwendungen bauen. Wenn man die kontrolliert kann man sicher auch in dessen Bauwerke (Anwendungen) was mit einbauen.

Danke für alle Hinweise zum Fall mit node.js