Ogromny atak hakerski na oprogramowanie zagraża każdej transakcji kryptowalutowej

Poważny cyberatak wstrząsnął globalnym ekosystemem oprogramowania i naraził miliony użytkowników kryptowalut na ryzyko. Hakerzy przejęli popularne konto dewelopera na npm, platformie zasilającej dużą część internetu, i wprowadzili złośliwe aktualizacje do szeroko używanych bibliotek kodu.

Te biblioteki są głęboko zakorzenione w niezliczonych aplikacjach i stronach internetowych. Razem są pobierane ponad miliard razy w każdym tygodniu. Ta skala sprawia, że jest to jeden z największych kompromitacji łańcucha dostaw oprogramowania w historii.

Nowe złośliwe oprogramowanie atakujące transakcje kryptowalutowe

Złośliwy kod celuje w transakcje kryptowalutowe. Działa na dwa sposoby.

Po pierwsze, jeśli nie zostanie wykryty portfel, malware wyszukuje adresy kryptowalutowe na stronie internetowej i zastępuje je adresami kontrolowanymi przez atakującego. 

Wykorzystuje sprytne sztuczki, aby podmienić je na bardzo podobne wizualnie adresy. Dzięki temu użytkownicy łatwo mogą przeoczyć podmianę.

NIE UŻYWAJ SWOJEGO PORTFELA KRYPTOWALUTOWEGO, jeśli nie masz pewności, że nie jest dotknięty atakiem NPM Javascript Hack. Z kodu, który przejrzałem, wynika, że atakuje on portfele przeglądarkowe, takie jak metamask, przechwytując metody przeglądarki, takie jak fetch i XMLHttpRequest. Kod wybiera…

— Scott Emick 🇺🇸 (@semick) September 8, 2025

Po drugie, jeśli obecny jest portfel taki jak MetaMask, kod aktywnie zmienia transakcje. 

Kiedy użytkownik przygotowuje się do wysłania środków, malware przechwytuje dane i podmienia odbiorcę na adres atakującego. Jeśli użytkownik podpisze transakcję bez dokładnego sprawdzenia, jego środki przepadają.

Każdy użytkownik kryptowalut może być zagrożony

Atak rozpoczął się, gdy konto npm dewelopera znanego jako Qix zostało przejęte. Hakerzy opublikowali wtedy nowe wersje dziesiątek jego paczek, w tym wspomnianych podstawowych narzędzi.

Deweloperzy, którzy aktualizowali swoje projekty, automatycznie pobierali te zainfekowane wersje. Każda strona internetowa lub zdecentralizowana aplikacja, która je wdrożyła, mogła nieświadomie narazić swoich użytkowników.

Naruszenie zostało wykryte dopiero po tym, jak błąd kompilacji zwrócił uwagę na dziwny, nieczytelny kod w jednej z zaktualizowanych paczek. 

Eksperci ds. bezpieczeństwa odkryli później, że był to zaawansowany „crypto-clipper” zaprojektowany do cichego przekierowywania środków.

Zagrożenie jest szczególnie poważne dla każdego, kto dokonuje transakcji przez przeglądarkę internetową. Jeśli skopiowałeś adres ze strony lub podpisałeś transfer bez sprawdzenia, możesz być zagrożony.

Chief Technology Officer firmy Ledger wydał stanowcze ostrzeżenie w mediach społecznościowych.

🚨 Trwa atak na dużą skalę na łańcuch dostaw: konto NPM renomowanego dewelopera zostało przejęte. Zainfekowane paczki zostały już pobrane ponad 1 miliard razy, co oznacza, że cały ekosystem JavaScript może być zagrożony. Złośliwy ładunek działa…

— Charles Guillemet (@P3b7_) September 8, 2025

Co powinieneś zrobić teraz

Eksperci zalecają kilka pilnych kroków dla wszystkich posiadaczy kryptowalut:

• Weryfikuj adresy: Zawsze czytaj cały adres na ekranie potwierdzenia portfela lub urządzeniu sprzętowym przed podpisaniem.
• Wstrzymaj aktywność, jeśli nie masz pewności: Jeśli korzystasz z portfela przeglądarkowego lub programowego, rozważ wstrzymanie transakcji do czasu uzyskania większej ilości informacji.
• Sprawdź ostatnią aktywność: Przejrzyj wcześniejsze transfery i zatwierdzenia. Jeśli zauważysz coś podejrzanego, cofnij zatwierdzenia i przenieś środki do nowego portfela.
• Wykonuj transakcje testowe: Wysyłając środki na nowy adres, najpierw przelej niewielką kwotę, aby upewnić się, że dotarła bezpiecznie.
• Korzystaj z portfeli sprzętowych: Urządzenia wyświetlające szczegóły transakcji na osobnym ekranie pozostają najbezpieczniejszą opcją.

Atak pokazuje, jak kruche może być zaufanie do ekosystemu oprogramowania open-source. Jedno przejęte konto dewelopera pozwoliło hakerom wprowadzić niebezpieczny kod do miliardów pobrań.

Incydent wciąż się rozwija. Złośliwe wersje są usuwane, ale niektóre mogą pozostać online przez dni lub tygodnie. Najbezpieczniejszym podejściem jest czujność.

Jeśli korzystasz z kryptowalut, sprawdzaj każdą transakcję bardzo dokładnie. Jedno dodatkowe spojrzenie na adres w portfelu może zdecydować o bezpieczeństwie lub kradzieży.