Cuộc tấn công chuỗi cung ứng NPM: Sàn giao dịch lớn tránh được nguy hiểm, nhưng người dùng tiền điện tử vẫn đối mặt với rủi ro

Sàn giao dịch tiền điện tử lớn nhất thế giới theo khối lượng giao dịch đã trấn an khách hàng của mình vào thứ Ba rằng dữ liệu và tài sản của họ vẫn an toàn trong bối cảnh được gọi là một trong những cuộc tấn công chuỗi cung ứng quan trọng nhất từng ảnh hưởng đến hệ sinh thái JavaScript.

Theo một tuyên bố được đăng trên mạng xã hội, sàn giao dịch xác nhận không có thiệt hại nào xảy ra đối với cơ sở dữ liệu của nó trong một vụ vi phạm nhằm vào các gói Node.js được sử dụng rộng rãi, liên quan đến hơn 2 tỷ lượt tải ứng dụng hàng tuần.

“Chúng tôi nhận thức được về cuộc tấn công chuỗi cung ứng gần đây đã phát tán các phiên bản độc hại của một số gói JavaScript được sử dụng rộng rãi,” công ty viết. “Sau khi điều tra, chúng tôi đã xác nhận rằng chúng tôi không bị ảnh hưởng và không có dữ liệu hoặc tài sản của khách hàng nào gặp rủi ro. An ninh vẫn là ưu tiên hàng đầu của chúng tôi, sự xâm phạm này nhắc nhở chúng tôi về tầm quan trọng của an ninh chuỗi cung ứng. Hãy giữ SAFU.”

Một nhân vật nổi bật trong lĩnh vực tiền điện tử đã bình luận trên nền tảng xã hội, “Ngay cả phần mềm mã nguồn mở cũng không an toàn trong những ngày này. Web3 sẽ định nghĩa lại sự an toàn cho Web2. Chúng ta vẫn còn sớm.”

Cuộc tấn công gói JavaScript khiến cộng đồng crypto rùng mình

Cuộc tấn công, được các nhà nghiên cứu bảo mật mô tả là một trong những cuộc tấn công lớn nhất trong lịch sử NPM, đã xảy ra vào ngày 8 tháng 9. Những kẻ tấn công đã xâm phạm tài khoản của người duy trì mã nguồn mở đáng tin cậy “qix” (Josh Junon) thông qua một email lừa đảo tinh vi mạo danh các thông tin liên lạc chính thức của npmjs.

Tôi thấy lo ngại về việc kẻ tấn công đã thao túng Junon dễ dàng như thế nào với một cảnh báo giả rằng tài khoản của anh ấy sẽ bị khóa vào ngày 10 tháng 9 năm 2025, trừ khi anh ấy ngay lập tức cập nhật thông tin xác thực xác thực hai yếu tố của mình.

“Như một phần trong cam kết liên tục của chúng tôi đối với bảo mật tài khoản, chúng tôi yêu cầu tất cả người dùng cập nhật thông tin xác thực Xác Thực Hai Yếu Tố (2FA). Hồ sơ của chúng tôi cho thấy đã hơn 12 tháng kể từ lần cập nhật 2FA cuối cùng của bạn,” email lừa đảo đã nêu.

Junon sau đó thừa nhận trên mạng xã hội rằng anh đã trở thành nạn nhân của kế hoạch lừa đảo sau khi một người bảo trì khác tiết lộ rằng tài khoản NPM của anh “đang đăng tải các gói với backdoor,” cho phép kẻ tấn công chiếm đoạt tài khoản của anh và đẩy các bản cập nhật độc hại đến 18 thư viện Node.js phổ biến bao gồm chalk, debug, ansi-styles, và strip-ansi.

Giao dịch Crypto Đặc biệt Được Nhắm đến

Phân tích của Aikido Security đã tiết lộ rằng những kẻ tấn công đã tiêm mã cho phép can thiệp qua trình duyệt vào các gói bị xâm phạm. Mã độc được giấu trong các tệp index.js, nơi nó có thể lén lút theo dõi lưu lượng mạng và API ứng dụng trong bất kỳ ứng dụng nào sử dụng các gói bị ảnh hưởng.

Kịch bản này đặc biệt theo dõi các địa chỉ ví và giao dịch liên quan đến Bitcoin, Ethereum, Solana, Tron, Litecoin và Bitcoin Cash. Khi được phát hiện, nó âm thầm thay thế địa chỉ ví đích bằng một địa chỉ do những kẻ tấn công kiểm soát, chuyển hướng quỹ mà nạn nhân không hề hay biết.

Giám đốc công nghệ của một nhà sản xuất ví phần cứng cho biết mã độc đã lan truyền vào các gói với hơn một tỷ lượt tải xuống.

Công ty phân tích blockchain Arkham Intelligence báo cáo vào cuối ngày thứ Hai rằng chỉ có $159 giá trị cryptocurrency đã bị đánh cắp cho đến nay, được truy dấu đến các địa chỉ được xác định bởi các nhà nghiên cứu an ninh.

Tuy nhiên, tôi lo lắng rằng con số thấp một cách đánh lừa này che giấu thiệt hại tiềm tàng thực sự, khi xem xét hàng tỷ lượt tải xuống liên quan đến các gói bị xâm phạm. Việc đánh cắp ban đầu chậm chạp có thể chỉ đơn giản là sự bình yên trước một cơn bão lớn hơn nhiều.