In den vergangenen Jahren ist die Zahl der Cyberangriffe auf Privatpersonen wie auch auf Unternehmen im Bereich digitaler Vermögenswerte deutlich angestiegen. Laut dem ReversingLabs 2025 Software Supply Chain Security Report richteten sich 14 der 23 krypto-bezogenen Schadkampagnen im Jahr 2024 gegen das Node Package Manager (NPM) Registry, weitere konzentrierten sich auf Pythons PyPI. Neben Open-Source-Paketen haben auch Phishing-Kampagnen, Angriffe auf Handelplätze sowie Wallet-Drain-Malware an Raffinesse gewonnen.

Was ist diese Woche passiert?

Am 8. September übernahmen Angreifer durch eine Phishing-E-Mail das npm-Konto eines bekannten Open-Source-Maintainers. npm, das weltweit grösste Registry für Open-Source-JavaScript-Pakete, wird von Entwicklern genutzt, um Code auszutauschen und herunterzuladen. Der Angreifer veröffentlichte daraufhin manipulierte Updates weit verbreiteter JavaScript-Bibliotheken (darunter chalk, strip-ansi und color-convert), die zusammen wöchentlich Hunderte von Millionen Downloads verzeichnen.

Die eingeschleuste Malware agierte als sogenannter Crypto-Clipper, der darauf ausgelegt war, Krypto-Transaktionen abzufangen, indem sie:

• Wallet-Adressen im Netzwerkverkehr durch vom Angreifer kontrollierte Adressen ersetzte, die den beabsichtigten sehr ähnlich sahen.
• Wallet-APIs übernahm, um die Empfängeradresse von Transaktionen zu verändern, bevor diese signiert wurden.

In der Praxis funktionierte diese Malware als browserbasierter Interceptor. Sie hängte sich in Funktionen wie fetch, XMLHttpRequest und gängige Wallet-Schnittstellen ein. Sobald sie aktiv war, manipulierte sie stillschweigend Anfragen und Antworten, indem sie sensible Angaben wie Wallet-Adressen oder Approval-Ziele durch Werte des Angreifers austauschte. Um die Erkennung zu erschweren, nutzte sie ähnlich aussehende Zeichenketten und griff auf mehreren Ebenen ein: Sie veränderte angezeigte Inhalte auf Websites, manipulierte API-Calls und täuschte sogar vor, welche Daten Anwendungen angeblich signierten. Transaktionen konnten auf dem Bildschirm legitim wirken, während sie im Hintergrund umgeleitet wurden.

Eine detaillierte technische Analyse, einschliesslich der betroffenen JavaScript-Bibliotheken, finden Sie hier.

Sofortige Entwarnung: Bitcoin Suisse ist nicht betroffen

Nach einer umfassenden Due-Diligence-Prüfung können wir bestätigen, dass die Systeme von Bitcoin Suisse nicht kompromittiert wurden und von diesem Vorfall nicht betroffen sind. Der infiltrierte Code war auf bestimmte Open-Source-Pakete beschränkt, die in Webapplikationen verwendet werden, und hatte keinerlei Auswirkungen auf unsere Infrastruktur oder die Sicherheit der Krypto-Vermögenswerte unserer Kundschaft.

Dieser Vorfall verdeutlicht zwar die potenziellen Risiken von Supply-Chain-Angriffen auf Software, hebt jedoch gleichzeitig die Stärke der Open-Source-Community hervor: Dank der Wachsamkeit und Zusammenarbeit von Entwicklern, Forschenden sowie Plattformbetreibenden weltweit wurden die betroffenen Pakete innerhalb von Minuten identifiziert und innerhalb weniger Stunden entfernt.

Wie wir die Krypto-Vermögenswerte unserer Kundschaft weiterhin schützen

Bei Bitcoin Suisse hat die Sicherheit unserer Kunden oberste Priorität. Für uns ist Sicherheit nicht optional – sie ist Teil unserer DNA und in jede unserer Dienstleistungen integriert. Im Gegensatz zu vielen anderen Organisationen, die auf externe Package Registries zurückgreifen, verwenden wir in unseren Vault-Systemen keine Drittanbieter-Registries. Um Risiken weiter zu minimieren, haben wir erhebliche Ressourcen in die Entwicklung eigener kryptographischer Bibliotheken investiert. Dieser Ansatz reduziert die Angriffsfläche für Supply-Chain-Attacken und stellt sicher, dass der Kern unseres Technologie-Stacks sicher, kontrolliert und vertrauenswürdig bleibt.

Unabhängig von diesem Vorfall – aber angesichts der zunehmenden Cyberangriffe in der gesamten Branche – haben wir kürzlich das optionale Feature Verified Crypto Withdrawal eingeführt. Damit wird sichergestellt, dass jede Auszahlungsanfrage einer Identitätsprüfung sowie einer direkten Abstimmung mit unserem Team unterzogen wird, was in Zeiten erhöhter Cyberrisiken eine zusätzliche Schutzebene schafft. Diese Funktion ist optional und kann auf Ihren Wunsch hin aktiviert werden. Um den eingeschränkten Zugriff zu aktivieren, wenden Sie sich bitte an Ihre Kundenbetreuung oder kontaktieren Sie uns über das Kontaktformular.

Wir bleiben hoch engagiert, Entwicklungen genau zu beobachten, eng mit vertrauenswürdigen Partnern und dem weiteren Ökosystem zusammenzuarbeiten und die Sicherheit unserer Kundschaft zu gewährleisten – damit sie sich im digitalen Asset-Umfeld jederzeit mit Vertrauen und Sicherheit bewegen können.