Derzeit gibt es einen groß angelegten Supply-Chain-Angriff, der auf das JavaScript-Ökosystem abzielt. Das NPM-Konto eines angesehenen Entwicklers wurde kompromittiert, wodurch bösartiger Code in Pakete eingefügt werden konnte, die bereits über 1 Milliarde Mal heruntergeladen wurden. Das bedeutet, dass unzählige Anwendungen und Projekte betroffen sein könnten.
Der bösartige Code funktioniert, indem er heimlich Krypto-Wallet-Adressen während Transaktionen ersetzt, um Gelder zu stehlen. Benutzer von Hardware-Wallets bleiben sicher, solange sie die Adresse sorgfältig überprüfen, bevor sie jede Transaktion signieren. Benutzer von Software-Wallets wird jedoch dringend geraten, vorerst keine On-Chain-Transaktionen durchzuführen, um das Risiko zu verringern.
Kurz gesagt: Dies ist einer der gefährlichsten Angriffe, da er von der Infrastrukturebene (NPM-Pakete) ausgeht und sich über Millionen von Projekten ausbreiten kann. Krypto-Nutzer sollten äußerst wachsam bleiben, jede Transaktion doppelt überprüfen und die Aktivität minimieren, bis mehr Klarheit geschaffen wird.