Największy atak na łańcuch dostaw w historii wymierzony w użytkowników kryptowalut poprzez zainfekowane pakiety JavaScript

Nowy cyberatak po cichu atakuje użytkowników kryptowalut podczas transakcji, w związku z incydentem, który badacze bezpieczeństwa opisują jako największy atak na łańcuch dostaw w historii.

BleepingComputer poinformował, że hakerzy przejęli konta opiekunów pakietów NPM za pomocą phishingowych e-maili i wstrzyknęli złośliwe oprogramowanie kradnące kryptowaluty.

Atak był wymierzony w deweloperów JavaScript poprzez fałszywe e-maile, które wyglądały na wysłane z adresu “support@npmjs.help”, podszywając się pod legalną domenę rejestru NPM.

Wiadomości phishingowe ostrzegały opiekunów, że ich konta zostaną zablokowane 10 września, jeśli nie zaktualizują swoich danych uwierzytelniania dwuskładnikowego przez złośliwy link.

Atakującym udało się przejąć 18 szeroko używanych pakietów JavaScript, które łącznie mają ponad 2.6 miliarda pobrań tygodniowo.

Zaatakowane biblioteki obejmują podstawowe narzędzia deweloperskie, takie jak “chalk” (300 milionów pobrań tygodniowo), “debug” (358 milionów) i “ansi-styles” (371 milionów), wpływając praktycznie na cały ekosystem JavaScript.

Atakowanie kryptowalut

Złośliwy kod działa jako przechwytujący w przeglądarce, monitorując ruch sieciowy pod kątem transakcji kryptowalutowych w sieciach Ethereum, Bitcoin, Solana, Tron, Litecoin i Bitcoin Cash.

Kiedy użytkownicy inicjują transfery kryptowalut, złośliwe oprogramowanie po cichu podmienia docelowe adresy portfeli na konta kontrolowane przez atakujących przed podpisaniem transakcji.

Badacz bezpieczeństwa z Aikido Security, Charlie Eriksen, wyjaśnił:

„To, co czyni ten atak niebezpiecznym, to fakt, że działa na wielu warstwach: zmienia treści wyświetlane na stronach internetowych, manipuluje wywołaniami API oraz tym, co aplikacje użytkowników uważają, że podpisują.”

CTO Ledger, Charles Guillemet, ostrzegł użytkowników kryptowalut przed trwającym zagrożeniem, zauważając, że ekosystem JavaScript może być zagrożony, biorąc pod uwagę ogromną liczbę pobrań.

Użytkownicy portfeli sprzętowych zachowują ochronę, jeśli weryfikują szczegóły transakcji przed podpisaniem, podczas gdy użytkownicy portfeli programowych są bardziej narażeni na ryzyko. Guillemet doradził:

„Jeśli nie używasz portfela sprzętowego, powstrzymaj się obecnie od dokonywania jakichkolwiek transakcji on-chain.”

Dodał również, że nie ma pewności, czy atakujący mogą bezpośrednio wykradać frazy seed z portfeli programowych.

Zaawansowane ukierunkowanie

Atak ten stanowi zaawansowany atak na łańcuch dostaw, w którym przestępcy kompromitują zaufaną infrastrukturę deweloperską, aby dotrzeć do użytkowników końcowych.

Poprzez infiltrację pakietów pobieranych miliardy razy tygodniowo, atakujący uzyskali bezprecedensowy dostęp do aplikacji kryptowalutowych i interfejsów portfeli.

BleepingComputer zidentyfikował infrastrukturę phishingową wykradającą dane uwierzytelniające do “websocket-api2.publicvm.com”, co pokazuje skoordynowany charakter operacji.

Ten incydent następuje po podobnych kompromitacjach bibliotek JavaScript w 2025 roku, w tym ataku z lipca na “eslint-config-prettier”, który miał 30 milionów pobrań tygodniowo, oraz kompromitacjach z marca dotyczących dziesięciu popularnych bibliotek NPM.

Artykuł Largest supply chain attack in history targets crypto users through compromised JavaScript packages pojawił się najpierw na CryptoSlate.