CTO Ledger ostrzega posiadaczy portfeli po włamaniu na konto NPM

• Duży atak dotknął narzędzi JavaScript używanych przez miliony użytkowników na platformach kryptowalutowych.
• CTO Ledger zalecił użytkownikom sprawdzanie każdej transakcji i unikanie ślepego podpisywania.
• Deweloperzy zostali poinstruowani, aby zabezpieczyć paczki i wstrzymać automatyczne aktualizacje do czasu usunięcia problemów.

Szeroko zakrojony atak na łańcuch dostaw w ekosystemie JavaScript wstrząsnął branżą kryptowalut, ujawniając kruche zależności w jej infrastrukturze. 8 września 2025 roku, Chief Technology Officer Ledger, Charles Guillemet, potwierdził, że atakujący przejęli konto renomowanego dewelopera w NPM (Node Package Manager). Przejęte konto pozwoliło hakerom na wstrzyknięcie złośliwego oprogramowania typu „crypto-clipper” do szeroko wykorzystywanych paczek JavaScript. 

Zainfekowane biblioteki, w tym chalk, debug, strip-ansi i color-convert, łącznie odpowiadają za ponad 1 miliard pobrań, co pokazuje ogromną skalę zagrożenia. Według Guillemeta, złośliwy kod po cichu podmienia adresy portfeli kryptowalutowych podczas transakcji, wysyłając środki na konta kontrolowane przez atakujących. Oznacza to, że nieświadomi użytkownicy mogą przeprowadzać transakcje, sądząc, że są one legalne, podczas gdy w rzeczywistości tracą swoje aktywa.

Zaatakowane narzędzia nie były niszowe. Biblioteki takie jak Chalk i Debug wspierają liczne zdecentralizowane aplikacje i platformy kryptowalutowe, przez co są integralną częścią codziennego funkcjonowania ekosystemu. Naruszenie tych bibliotek pokazało, że jedno włamanie może szybko dotknąć milionów portfeli i aplikacji.

Pilne ostrzeżenia od CTO Ledger

Guillemet nie ujawnił nazwiska dewelopera, którego konto zostało przejęte. Podkreślił jednak, że zagrożenie jest szerokie. „To atak na łańcuch dostaw na dużą skalę. Cały ekosystem JavaScript może być zagrożony” – napisał w oficjalnym ostrzeżeniu.

Podkreślił znaczenie korzystania z portfeli sprzętowych z bezpiecznym ekranem, które wspierają Clear Signing. „Jedynym pewnym sposobem ochrony jest używanie portfela sprzętowego z bezpiecznym ekranem, który obsługuje clear signing” – powiedział. „Pozwoli to użytkownikowi zobaczyć dokładnie, na jakie adresy wysyłane są środki i upewnić się, że zgadzają się one z zamierzonymi adresami.”

Kontynuował: „Portfele sprzętowe bez bezpiecznych ekranów oraz każdy portfel, który nie obsługuje clear signing, są narażone na wysokie ryzyko, ponieważ nie da się dokładnie zweryfikować szczegółów transakcji.”

Na koniec wydał ogólne przypomnienie: „To okazja, by przypomnieć wszystkim: zawsze weryfikuj swoje transakcje, nigdy nie podpisuj w ciemno, używaj portfela sprzętowego z bezpiecznym ekranem i zawsze korzystaj z Clear Sign.”

Reakcja deweloperów i szersze implikacje

W następstwie ujawnienia ataku, deweloperzy zostali wezwani do przypięcia bezpiecznych wersji zależności, zabezpieczenia lockfile’ów oraz wstrzymania automatycznych aktualizacji paczek do odwołania. Środki te mają na celu ograniczenie szkód podczas audytów i czyszczenia ekosystemu. Znane postacie ze społeczności deweloperów kryptowalutowych również zaleciły użytkownikom unikanie interakcji ze stronami kryptowalutowymi do czasu usunięcia luk.

Powiązane: Deweloperzy Ripple bronią XRP Ledger po ocenie Kaiko

To wydarzenie pokazało, że nawet kluczowi dostawcy portfeli, tacy jak Ledger, polegają na warstwach oprogramowania poza swoją bezpośrednią kontrolą. Jeśli te warstwy zostaną naruszone, skutki mogą być katastrofalne. Miliony użytkowników i cyfrowe wartości sięgające miliardów mogą być zagrożone w ciągu kilku godzin.

Aktualizacja dotycząca ataku na NPM

Zgodnie z najnowszą aktualizacją od Guillemeta, atak zakończył się niepowodzeniem i niemal nie było ofiar. Rozpoczął się od phishingowego e-maila z fałszywej domeny wsparcia npm, który wykradł dane uwierzytelniające, dając atakującym dostęp do publikowania złośliwych aktualizacji paczek. Wstrzyknięty kod był wymierzony w aktywność web crypto, podpinając się pod Ethereum, Solana i inne łańcuchy, aby przechwytywać transakcje poprzez bezpośrednią zamianę adresów portfeli w odpowiedziach sieciowych. Jednak błędy popełnione przez atakujących spowodowały awarie w pipeline’ach CI/CD, co doprowadziło do wczesnego wykrycia i ograniczenia skutków.

Guillemet podkreślił, że jeśli twoje środki znajdują się w portfelu programowym lub na giełdzie, jesteś o jedno wykonanie kodu od utraty wszystkiego. Kompromitacje łańcucha dostaw pozostają skutecznym wektorem dostarczania złośliwego oprogramowania, a ataki ukierunkowane są coraz częstsze. Zaznaczył również, że portfele sprzętowe są zbudowane, by wytrzymać takie zagrożenia. Funkcje takie jak Clear Signing pozwalają dokładnie potwierdzić, co się dzieje, a Transaction Checks sygnalizują podejrzaną aktywność zanim będzie za późno.

Artykuł Ledger CTO Warns Wallet Holders After NPM Account Hack pojawił się najpierw na Cryptotale.