CTO của Ledger cảnh báo về cuộc tấn công chuỗi cung ứng NPM nhắm vào người dùng crypto

Một cuộc tấn công chuỗi cung ứng quy mô lớn đã làm rung chuyển hệ sinh thái crypto, đe dọa người dùng trên toàn cầu. CTO của Ledger, Charles Guillemet, đang gióng lên hồi chuông cảnh báo, kêu gọi người dùng cẩn trọng và sử dụng ví cứng.

Cuộc tấn công, bắt đầu từ việc một tài khoản Node Package Manager (NPM) bị hack, đã ảnh hưởng đến hàng tỷ lượt tải về và đe dọa an ninh của hàng triệu dApp và giao dịch crypto.

“Tài khoản NPM của một nhà phát triển uy tín đã bị xâm nhập. Các gói bị ảnh hưởng đã được tải về hơn 1 tỷ lần,” Guillemet cảnh báo.

Ông giải thích thêm rằng mã độc này hoạt động như một crypto clipper, âm thầm chiếm đoạt địa chỉ ví trong quá trình giao dịch để chuyển hướng tiền về ví của kẻ tấn công. Guillemet kêu gọi người dùng đặc biệt cẩn trọng, nhất là những ai không sử dụng ví cứng.

“Nếu bạn sử dụng ví cứng, hãy chú ý đến từng giao dịch trước khi ký và bạn sẽ an toàn. Nếu không, hãy tạm thời không thực hiện bất kỳ giao dịch on-chain nào,” ông khuyên.

NPM hack: Cách vụ vi phạm xảy ra 

Các báo cáo tiết lộ rằng 18 gói NPM phổ biến đã bị xâm nhập, bao gồm các gói nổi bật như ‘chalk’, ‘debug’ và ‘strip-ansi.’ Cuộc tấn công diễn ra vào ngày 8 tháng 9, là một trong những vụ lớn nhất trong lịch sử gần đây, ảnh hưởng đến các thư viện có tổng số hơn 2 tỷ lượt tải về mỗi tuần.

Cuộc tấn công được cho là bắt đầu bằng một email phishing giả mạo bộ phận hỗ trợ chính thức của NPM. Mục tiêu là Qix-, một nhà phát triển có uy tín, người đã bị chiếm đoạt tài khoản NPM, cho phép kẻ tấn công tiêm các bản cập nhật độc hại vào các thư viện JavaScript phổ biến.

Khi được cài đặt, payload độc hại âm thầm thay thế các địa chỉ crypto được sao chép bằng các địa chỉ tương tự do hacker kiểm soát. Kỹ thuật này, sử dụng logic khoảng cách Levenshtein, đánh lừa người dùng không nghi ngờ chuyển tiền đến địa chỉ sai.

Một địa chỉ ví chính liên quan đến cuộc tấn công đã được các nhà nghiên cứu nhấn mạnh, mặc dù họ cũng lưu ý thêm các ví khác được cho là có liên quan.

Mặc dù Charles cho biết hiện chưa rõ liệu kẻ tấn công có đang đánh cắp seed của các ví phần mềm trực tiếp hay không, các báo cáo gần đây đã làm sáng tỏ mức độ thiệt hại. Nhà nghiên cứu Rani Haddad đã phân loại các ví của kẻ tấn công trên Arkham là một thực thể có tên NPM attack. Dữ liệu cho thấy kẻ tấn công đã đánh cắp được 497,96 USD tại thời điểm đưa tin.

Các ví của kẻ tấn công | Nguồn: Arkham

Mặc dù tác động tài chính trực tiếp không quá lớn, nhưng mức độ tiềm tàng là rất lớn nếu xét đến độ phổ biến của các gói bị ảnh hưởng.

Phản ứng cộng đồng và phòng ngừa 

Một số dự án và giao thức như Uniswap, SUI và Jupiter đã xác nhận rằng họ không bị ảnh hưởng nhưng vẫn khuyến cáo người dùng cẩn trọng. Các ví crypto như Ledger và MetaMask đảm bảo với người dùng về các biện pháp bảo mật nhiều lớp.

Trong khi đó, vụ hack chuỗi cung ứng NPM không phải là sự kiện bảo mật lớn duy nhất vào ngày 8 tháng 9. Nền tảng tài sản crypto Thụy Sĩ SwissBorg đã báo cáo một vụ khai thác trị giá 41 triệu USD thông qua API đối tác, ảnh hưởng đến 1% người dùng. Ngoài ra, dự án Ethereum L2 Kinto đã thông báo đóng cửa sau khi bị khai thác vào tháng 7 khiến 577 ETH bị rút sạch, khiến đội ngũ không thể đảm bảo nguồn vốn.

Làn sóng tấn công này là dấu hiệu cho thấy sự phức tạp ngày càng tăng của các mối đe dọa crypto. Trong tương lai, người dùng, nhà phát triển và các nền tảng cần áp dụng các biện pháp an toàn hơn và kiểm tra gói phần mềm nghiêm ngặt hơn.