Die Informationen auf dieser Seite stammen von unseren unabhängigen Experten, die über langjährige Erfahrung auf dem Finanzmarkt verfügen und auch für andere Publikationen tätig sind. Die Fakten wurden nach bestem Wissen und Gewissen geprüft. icobench.com erhält eine kleine Provision, wenn Sie bei einem der verlinkten Projekte Geld investieren – für Sie entstehen dadurch keine zusätzlichen Kosten oder höheren Gebühren. 
Forscher von ReversingLabs haben eine neuartige Angriffsmethode in der Software-Supply-Chain aufgedeckt. Zwei NPM-Pakete, colortoolsv2 und mimelib2, die im Juli veröffentlicht wurden, dienten als minimalistische Trojaner. Statt schädliche URLs direkt im Code zu hinterlegen, griffen sie dynamisch auf Smart Contracts in der Ethereum-Blockchain zu, um Adressen für Command-and-Control-Server (C2) abzurufen.
Tarnung durch Blockchain-Verkehr
Die bösartigen Pakete enthielten lediglich Downloader. Anstatt feste Links einzubetten, fragten sie Ethereum-Verträge ab, um die C2-Adresse zu erhalten und anschließend eine zweite Schadstufe nachzuladen. Diese Trennung verschleiert die Spuren: Statische Code-Analysen finden keine offensichtlichen Indikatoren (IOCs), während der Netzwerkverkehr wie normale Blockchain-Abfragen aussieht. Sicherheitsexperten betonen die Originalität dieser Technik, da Befehle nicht wie üblich in externen Repositories, sondern direkt „on-chain“ hinterlegt werden.
⚠️ New RL threat research: 2 malicious #npm packages abuse #Ethereum smart contracts to load #malware on compromised devices. https://t.co/wzDRKfm2yh
— ReversingLabs (@ReversingLabs) September 3, 2025
Gefährdung der Open-Source-Supply-Chain
Die Angreifer tarnten ihre Schadpakete hinter vermeintlich seriösen GitHub-Repos, die wie glaubwürdige Krypto-Trading-Bots wirkten. Mit gepflegter Dokumentation, mehreren Maintainer-Accounts und umfangreichen Commits erzeugten sie den Eindruck von Legitimität. Für Entwickler, die diese scheinbar harmlosen Utilities installierten, verbarg sich die eigentliche Bedrohung erst im Nachladen.
Das Besorgniserregende: Die Kombination aus Open-Source-Infrastruktur und Web3-Elementen erschwert die Erkennung und könnte zu einem neuen Standard bei Supply-Chain-Attacken werden.
Warnsignale für Entwickler
Experten empfehlen, besonders auf folgende Indikatoren zu achten:
- Unerklärliche RPC-Aufrufe oder Web3-Bibliotheken in Paketen ohne funktionalen Grund
- Verdächtige Anfragen an öffentliche oder private Ethereum-Nodes
- Obfuskierten Code, der ausschließlich für Download und Ausführung zuständig ist
- Referenzen auf unbekannte Smart-Contract-Adressen ohne Dokumentation
Solche Hinweise allein beweisen keinen Angriff, rechtfertigen jedoch Quarantäne- und Sandboxing-Maßnahmen. Sicherheitsteams raten zudem, IOC-Listen um Smart-Contract-Adressen zu erweitern, nicht nur um Domains, IPs und Hashes.
Ein Präzedenzfall für künftige Angriffe
Auch wenn die Downloadzahlen bisher gering ausfallen, gilt die Technik als gefährlicher Präzedenzfall. Angreifer experimentieren mit modularen Angriffsketten: harmloses Open-Source-Paket, dynamische Adressabfrage über die Blockchain, anschließende Schadcode-Auslieferung.
Das Fazit: Die Open-Source-Supply-Chain bleibt ein Schlachtfeld – und die Angreifer beweisen erneut die größere Kreativität.
