CTO Ledger ostrzega użytkowników przed zagrożeniem dla bezpieczeństwa kryptowalut związanym z naruszeniem łańcucha dostaw NPM

Duże naruszenie bezpieczeństwa łańcucha dostaw wstrząsnęło społecznością open-source po tym, jak hakerzy przejęli konto Node Package Manager (NPM) renomowanego dewelopera. Szeroko używane paczki zostały naruszone, wywołując poważne obawy w całym ekosystemie JavaScript.

Naruszenie NPM budzi obawy o bezpieczeństwo portfeli

Charles Guillemet, dyrektor ds. technologii w Ledger, ujawnił skalę zagrożenia. Poinformował, że główne konto NPM zostało przejęte, a naruszone paczki zostały już pobrane ponad miliard razy. Biorąc pod uwagę ten zasięg, stwierdził, że cały ekosystem JavaScript może być narażony. Złośliwy kod działał po cichu, podmieniając adresy kryptowalut w czasie rzeczywistym, aby przekierować środki do atakujących.

Guillemet zaapelował o ostrożność. Wyjaśnił, że użytkownicy portfeli sprzętowych pozostają bezpieczni, jeśli dokładnie weryfikują każdą transakcję przed jej zatwierdzeniem. Osobom polegającym na portfelach programowych zalecił unikanie transakcji on-chain, dopóki sytuacja nie stanie się jasna. Zaznaczył również, że nadal nie jest pewne, czy atakujący bezpośrednio próbują wydobyć frazy odzyskiwania z portfeli programowych.

Deweloper potwierdza przejęcie konta

Opiekun będący w centrum naruszenia, Josh Junon, potwierdził, że jego konto NPM zostało przejęte. W poście na Bluesky wyjaśnił, że przejęcie było wynikiem kampanii phishingowej. Atakujący założyli fałszywą domenę, ‘support [at] npmjs [dot]’ help, zaprojektowaną tak, by przypominała oficjalną stronę npmjs.com.

Opiekunowie otrzymywali groźby mailowe, że ich konta zostaną zablokowane 10 września 2025 roku. Wiadomości te zawierały linki przekierowujące do stron phishingowych mających na celu kradzież danych uwierzytelniających. Fałszywy e-mail zawierał następującą treść:

Aby zachować bezpieczeństwo i integralność Twojego konta, uprzejmie prosimy o jak najszybsze dokonanie tej aktualizacji. Prosimy pamiętać, że konta z nieaktualnymi danymi 2FA zostaną tymczasowo zablokowane od 10 września 2025 roku, aby zapobiec nieautoryzowanemu dostępowi.

Wkrótce inni deweloperzy zgłosili, że zostali zaatakowani w ten sam sposób, potwierdzając, że kampania phishingowa dotknęła więcej niż jednego opiekuna.

Reakcja na naruszenie NPM i analiza techniczna

Zespół NPM zareagował szybko po wykryciu naruszenia, usuwając złośliwe wersje przesłane przez atakujących. Wśród usuniętych znalazła się wersja paczki debug, która jest pobierana setki milionów razy tygodniowo — szacunkowo około 357 milionów.

Dalszą analizę przeprowadziła firma Aikido Security, a dochodzenie ujawniło następujące fakty:

• Atakujący dodali złośliwy kod do plików index.js przejętych paczek. Działał on jako przechwytujący w przeglądarce, przejmując ruch i celując w użytkowników kryptowalut.
• Złośliwe oprogramowanie osadzało się w przeglądarkach i podłączało do funkcji takich jak fetch, XMLHttpRequest oraz API portfeli, takich jak window.ethereum i Solana, uzyskując dostęp do aktywności w sieci i portfelach.
• Po aktywacji skanowało dane w poszukiwaniu adresów portfeli w sieciach Ethereum, Bitcoin, Solana, Tron, Litecoin i Bitcoin Cash. Wykryte adresy były podmieniane na te kontrolowane przez atakujących, często łudząco podobne.
• Modyfikowało szczegóły transakcji przed podpisaniem, zmieniając odbiorców, zatwierdzenia lub uprawnienia, podczas gdy interfejs wyglądał normalnie, wysyłając środki do atakujących.
• Aby pozostać niewidocznym, unikało widocznych zmian, gdy portfel był obecny, zamiast tego działało cicho w tle i manipulowało prawdziwymi transakcjami.

Apel o silniejsze środki ostrożności

W komentarzach dla CoinDesk Guillemet ostrzegł, że zdecentralizowane aplikacje lub portfele programowe zawierające naruszone paczki mogą nie być bezpieczne, narażając użytkowników kryptowalut na utratę środków. Podkreślił, że najbardziej niezawodnym zabezpieczeniem jest portfel sprzętowy z bezpiecznym wyświetlaczem obsługującym Clear Signing.

Takie podejście pozwala użytkownikom zweryfikować adres i szczegóły każdej transakcji bezpośrednio na ekranie urządzenia, zapewniając, że to, co zatwierdzają, odpowiada ich intencjom.

Dodał, że sytuacja ta jest mocnym przypomnieniem o podstawowych zasadach: „zawsze weryfikuj swoje transakcje, nigdy nie podpisuj w ciemno.” Zalecił również korzystanie z portfela sprzętowego z bezpiecznym wyświetlaczem, aby zapewnić bezpieczeństwo.