Dezentrale Finanzplattformen im Visier: Ein Angriff auf offizielle Entwickler-Bibliotheken der Kryptobörse dYdX hat Malware verbreitet, die digitale Geldbörsen ausspäht. Die Attacke untergräbt das fundamentale Vertrauen in Open-Source-Repositorien und zeigt die wachsende Bedrohungslage für die gesamte Krypto-Branche.
Sicherheitsforscher entdeckten die kompromittierten Versionen der offiziellen dYdX-Client-Bibliotheken in den zentralen Paketregistern npm (für JavaScript) und PyPI (für Python). Diese Bibliotheken sind essentielle Werkzeuge für Entwickler, die Handelsroboter, Portfolio-Manager oder andere Dienste für die dYdX-Handelsplattform bauen. Die Angreifer nutzten offenbar gehackte Entwickler-Zugänge, um die schädlichen Updates als legitime Pakete zu veröffentlichen – ein Frontalangriff auf das Vertrauensmodell der Open-Source-Gemeinschaft. dYdX bestätigte den Vorfall und gab an, das Problem bis zum 6. Februar 2026 behoben zu haben.
So funktionierte der hinterhältige Angriff
Im Zentrum standen spezifische Versionen der Pakete @dydxprotocol/v4-client-js auf npm und dydx-v4-client auf PyPI. Entwickler, die diese Versionen installierten, integrierten unbewusst Schadsoftware in ihre eigenen Anwendungen. Das Sicherheitsunternehmen Socket detektierte das verdächtige Verhalten erstmals um den 27. Januar und informierte dYdX am Folgetag.
Passend zum Thema Software-Lieferketten und Entwickler-Sicherheit: Ein kostenloses E‑Book erklärt aktuelle Cyber‑Bedrohungen — von manipulierten Paket‑Updates bis zu Remote‑Access‑Tools — und liefert praxisnahe Schutzmaßnahmen für Entwickler und DevOps‑Teams. Enthalten sind Checklisten zur Paketverifikation, Empfehlungen für Zugangsschutz sowie einfache Prüfskripte, die kompromittierte Abhängigkeiten frühzeitig aufdecken. Ideal für Entwickler, Plattformbetreiber und IT‑Sicherheitsverantwortliche. Jetzt kostenlosen Cyber-Security-Report herunterladen
Die Methode war raffinierter als ein simpler Hackerangriff. Analysten vermuten, dass die Täter Zugriff auf den Account eines dYdX-Entwicklers erlangten. So konnten sie die präparierten Pakete wie offizielle Updates publizieren. Diese Taktik ist besonders tückisch, weil sie das implizite Vertrauen in offizielle Repositorien ausnutzt. Indem sie die Quelle des vertrauenswürdigen Codes vergifteten, erreichten die Angreifer eine breite Streuung – von individuellen Algorithmus-Händlern bis hin zu größeren Plattformen.
Doppelte Bedrohung: Wallet-Diebstahl und Fernzugriff
Die Malware war je nach Zielplattform unterschiedlich ausgelegt und zeugt von einem kalkulierten Vorgehen. Das kompromittierte npm-Paket für JavaScript-Entwickler enthielt einen leistungsfähigen Krypto-Wallet-Stealer. Diese Komponente wurde darauf programmiert, kritische Daten wie Seed-Phrasen und Geräteinformationen abzugreifen. Mit diesen Daten können Angreifer Gelder direkt aus den digitalen Geldbörsen der Nutzer abziehen.
Für Entwickler, die das Python-Paket von PyPI nutzten, war die Bedrohung noch gravierender. Zusätzlich zur Wallet-Stealing-Funktion enthielt der schädliche Code einen Remote Access Trojan (RAT). Dieser Trojaner öffnet den Angreifern eine Hintertür in das kompromittierte System. Sie können dann beliebige Befehle aus der Ferne ausführen. Dieser tiefe Zugriff ermöglicht weitere Systeminfiltration, Datendiebstahl und potenziell langfristige Überwachung der Entwickleraktivitäten. Der RAT arbeitete zudem versteckt, ohne ein sichtbares Konsolenfenster zu öffnen, was die Entdeckung erschwerte.
Altes Muster, neue Eskalationsstufe
Für dYdX ist dieser Supply-Chain-Angriff kein Einzelfall, sondern der jüngste in einer Reihe von Sicherheitsvorfällen. Bereits im September 2022 wurde der npm-Account eines Mitarbeiters übernommen, um bösartige Paket-Updates zu verbreiten. Im Juli 2024 wurde die Website der inzwischen eingestellten dYdX-v3-Plattform kompromittiert, um Nutzer auf Phishing-Seiten umzuleiten.
Sicherheitsexperten bewerten den aktuellen Vorfall jedoch als deutliche Eskalation. Während der Angriff 2024 Endnutzer über die Web-Infrastruktur traf, kompromittiert der jetzige Hack die Client-Bibliotheken selbst – die fundamentalen Bausteine für Entwickler. Dieser Taktikwechsel unterstreicht ein anhaltendes Muster: Angreifer zielen gezielt auf die vertrauenswürdigen Vertriebskanäle von dYdX ab. Die dezentrale Natur von DeFi-Plattformen wie dYdX, die ein kumuliertes Handelsvolumen von über 1,5 Billionen US-Dollar verzeichnet hat, macht sie zu einem lukrativen Ziel für Cyberkriminelle.
Was Betroffene jetzt tun müssen – und was die Branche lernt
dYdX fordert Entwickler, die die kompromittierten Versionen heruntergeladen haben könnten, zu sofortigen Maßnahmen auf. Dazu gehören:
* Isolierung potenziell betroffener Systeme.
* Transfer aller Gelder und Assets auf eine neue, sichere Wallet, die auf einem sauberen System erstellt wurde.
* Erneuerung aller API-Keys und Zugangsdaten.
Die Börse stellte klar, dass die Versionen der Client-Bibliotheken im offiziellen GitHub-Repository nicht von der Malware betroffen sind.
Der Vorfall ist eine deutliche Warnung vor den Schwachstellen in modernen Software-Lieferketten, wo selbst offizielle Pakete zum Angriffsvektor werden. Für die Krypto- und Software-Entwicklungsbranche unterstreicht er die dringende Notwendigkeit verschärfter Sicherheitspraktiken. Experten raten Entwicklern, Software-Abhängigkeiten auf spezifische, verifizierte Versionen festzunageln, Paketinstallationen regelmäßig zu überprüfen und fortschrittliche Sicherheitstools zum Scannen nach schädlichem Code einzusetzen. Die Ära des blinden Vertrauens in Code-Drittquellen ist vorbei. Sie zwingt zu einem paranoideren, verifikationszentrierten Ansatz in der Softwareentwicklung.
PS: Entwicklern und Unternehmen drohen durch vergiftete Bibliotheken unmittelbare finanzielle Verluste und Rufschäden. Das gratis E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Attacken (inkl. Supply‑Chain‑Hacks), verständliche Abwehrstrategien und Sofortmaßnahmen für IT‑Teams zusammen — von Incident‑Response‑Checklisten bis zu Mitarbeiter‑Schulungen. Schützen Sie Wallets, Schlüssel und Ihre Entwicklungsumgebung nachhaltig. Jetzt Cyber-Security-E-Book kostenfrei sichern
