Un massiccio attacco informatico al software mette a rischio ogni transazione crypto

Un grave attacco informatico ha scosso l'ecosistema globale del software e messo a rischio milioni di utenti crypto. Gli hacker hanno preso il controllo dell’account di uno sviluppatore molto popolare su npm, la piattaforma che alimenta gran parte del web, e hanno inserito aggiornamenti malevoli in librerie di codice ampiamente utilizzate.

Queste librerie sono nascoste in profondità all’interno di innumerevoli app e siti web. Insieme, vengono scaricate più di un miliardo di volte ogni settimana. Questa portata rende questo uno dei più grandi compromessi della catena di fornitura software mai visti.

Un nuovo malware che prende di mira le transazioni crypto

Il codice malevolo prende di mira le transazioni di criptovalute. Funziona in due modi.

Per prima cosa, se non viene rilevato alcun wallet, il malware cerca indirizzi crypto all’interno di un sito web e li sostituisce con indirizzi controllati dagli aggressori. 

Utilizza trucchi ingegnosi per sostituirli con indirizzi molto simili visivamente. Questo rende facile per gli utenti non accorgersi della sostituzione.

NON UTILIZZARE IL TUO CRYPTO WALLET a meno che tu non sia sicuro che non sia stato colpito dall’hack Javascript di NPM. Dal codice che ho esaminato, sembra che prenda di mira wallet basati su browser come metamask intercettando i metodi del browser come fetch e XMLHttpRequest. Il codice sceglie…

— Scott Emick 🇺🇸 (@semick) 8 settembre 2025

In secondo luogo, se è presente un wallet come MetaMask, il codice modifica attivamente le transazioni. 

Quando un utente si prepara a inviare fondi, il malware intercetta i dati e sostituisce il destinatario con l’indirizzo dell’attaccante. Se l’utente firma senza controllare attentamente, il suo denaro è perso.

Ogni utente crypto potrebbe essere a rischio

L’attacco è iniziato quando l’account npm dello sviluppatore noto come Qix è stato compromesso. Gli hacker hanno quindi pubblicato nuove versioni di dozzine dei suoi pacchetti, inclusi gli strumenti di base sopra menzionati.

Gli sviluppatori che hanno aggiornato i loro progetti hanno automaticamente integrato queste versioni infette. Qualsiasi sito web o applicazione decentralizzata che le abbia implementate potrebbe inconsapevolmente esporre i propri utenti.

La violazione è stata scoperta solo dopo che un errore di compilazione ha attirato l’attenzione su un codice strano e illeggibile all’interno di uno dei pacchetti aggiornati. 

Gli esperti di sicurezza hanno poi scoperto che si trattava di un sofisticato “crypto-clipper” progettato per reindirizzare i fondi in modo silenzioso.

La minaccia è particolarmente seria per chi effettua transazioni tramite browser web. Se hai copiato un indirizzo da un sito o hai firmato un trasferimento senza controllare, potresti essere a rischio.

Il Chief Technology Officer di Ledger ha lanciato un severo avvertimento sui social media.

🚨 È in corso un attacco su larga scala alla supply chain: l’account NPM di uno sviluppatore affidabile è stato compromesso. I pacchetti colpiti sono già stati scaricati oltre 1 miliardo di volte, il che significa che l’intero ecosistema JavaScript potrebbe essere a rischio. Il payload malevolo funziona…

— Charles Guillemet (@P3b7_) 8 settembre 2025

Cosa dovresti fare ora

Gli esperti raccomandano diversi passi urgenti per tutti i possessori di crypto:

• Verifica gli indirizzi: Leggi sempre l’indirizzo completo sulla schermata di conferma del tuo wallet o sul dispositivo hardware prima di firmare.
• Sospendi l’attività se hai dubbi: Se utilizzi un wallet basato su browser o software, valuta di sospendere le transazioni finché non si saprà di più.
• Controlla le attività recenti: Rivedi i trasferimenti e le approvazioni passate. Se noti qualcosa di sospetto, revoca le approvazioni e sposta i fondi su un nuovo wallet.
• Utilizza transazioni di prova: Quando invii a un nuovo indirizzo, trasferisci prima una piccola somma per confermare che arrivi in sicurezza.
• Affidati ai wallet hardware: I dispositivi che mostrano i dettagli delle transazioni su uno schermo separato restano l’opzione più sicura.

L’attacco dimostra quanto possa essere fragile la fiducia nell’ecosistema del software open-source. Un singolo account sviluppatore compromesso ha permesso agli hacker di diffondere codice pericoloso in miliardi di download.

L’incidente è ancora in corso. Le versioni malevole vengono rimosse, ma alcune potrebbero restare online per giorni o settimane. L’approccio più sicuro è la vigilanza.

Se usi crypto, controlla ogni transazione con attenzione. Un controllo in più dell’indirizzo sul tuo wallet potrebbe fare la differenza tra sicurezza e furto.