Über die npm-Lieferkettenschadsoftware: Der npm-Maintainer qix wurde gezielt durch Social Engineering angegriffen und klickte auf eine gefälschte 2fa-Reset-E-Mail, was zu einem Berechtigungsverlust führte. Der Angreifer nutzte daraufhin sein Konto, um eine neue Version mit einem Hintertürchen zu veröffentlichen, betroffen sind unter anderem Top-Bibliotheken wie chalk und debug. Dieser Angriff hat weitreichende Auswirkungen. Zunächst ist die Tarnung stark. Der erste Teil behält die normalen Funktionen bei und zeigt keine sofortigen Fehler. Der Payload wurde obfuskiert, sodass eine statische Prüfung nur schwer zu erkennen ist. Der Hacker hat sogar fetch, XMLHttpRequest und ethereum.request gehookt, sodass selbst Debugging-Tools getäuscht werden können. Zweitens ist die Wirkung des Angriffs verheerend. Die Adressersetzung erfolgt nicht willkürlich, sondern berechnet die nächstgelegene Adresse des Angreifers mithilfe der Levenshtein-Distanz, sodass der Benutzer sie mit bloßem Auge kaum erkennen kann. Es wurde speziell für DEX-Router angepasst, sodass die meisten Swaps möglicherweise abgefangen werden; die zurückgegebene Antwort ist ebenfalls eine gefälschte Erfolgsmeldung, sodass Entwickler und Benutzer glauben, die Transaktion sei in Ordnung, während das Geld bereits abgehoben wurde. Wäre der Hardware-Wallet nicht in der letzten Phase in der Lage, eine zweite Bestätigung durchzuführen, wüssten viele Menschen möglicherweise nicht einmal, wie ihr Geld verschwunden ist. Wenn Sie die onekey-App-Wallet verwenden: völlig unbeeinflusst. Wenn Sie die onekey-App + onekey-Hardware verwenden: sicherer, ebenfalls völlig unbeeinflusst. Wenn Sie onekey-Hardware + Apps anderer Anbieter verwenden: Bestätigen Sie unbedingt die Adresse und den Betrag auf dem Hardware-Bildschirm. Die Analyse auf der Hardware ist die endgültige Absicherung und kann in kritischen Momenten Leben retten. Glauben Sie nicht blind den Anzeigen auf Webseiten oder Plugins, bis es offizielle Berichte oder Korrekturmaßnahmen gibt. Das ist alles.