Image by Kanchanara, from Unsplash
Użytkownicy kryptowalut zagrożeni po tym, jak hakerzy wykorzystali biblioteki JavaScript NPM
Przeczytasz w: 2 min
Ostatnia aktualizacja: Sep 10, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Hakerzy przejęli popularne pakiety NPM, wprowadzając do nich złośliwy kod i kradnąc środki kryptowalutowe od miliardów użytkowników, którzy pobrali zainfekowane pakiety.
Spieszy ci się? Oto najważniejsze fakty:
- Popularne biblioteki, które ucierpiały, to między innymi chalk, strip-ansi, debug i color-convert.
- Malware przejmuje transakcje kryptowalut poprzez zamianę adresów portfeli w przeglądarkach.
- Tylko użytkownicy aktualizujący pakiety podczas okna ataku są narażeni na duże ryzyko.
Ekoosystem Node Package Manager (NPM) doznał do tej pory największego ataku na łańcuch dostaw, jak po raz pierwszy donosił Bleeping Computer (BC). Hakerzy zaszyli złośliwe oprogramowanie w popularnych bibliotekach JavaScript, które użytkownicy pobierają miliardy razy każdego tygodnia.
Napastnicy użyli fałszywych e-maili z wsparciem NPM, aby wysłać twórcom pakietów fałszywe alerty, nakłaniając ich do zaktualizowania dwuskładnikowego uwierzytelniania.
Josh Junon (qix), jeden z celów ataku, potwierdził próbę phishingu, stwierdzając, że pochodziła z fałszywej domeny, ‚npmjs[.]help.’ Napastnicy wprowadzili szkodliwy kod do trzech powszechnie używanych pakietów, które razem otrzymują więcej niż 2,6 miliarda pobrania tygodniowo: chalk, strip-ansi i debug.
CoinTelegraph wyjaśnia, że złośliwe oprogramowanie działa jako crypto-clipper, monitorując transakcje przeglądarki internetowej pod kątem adresów kryptowalut i zastępując je adresami kontrolowanymi przez atakującego.
„Pakiety zostały zaktualizowane o fragment kodu, który byłby wykonywany na kliencie witryny, który cicho przechwytuje aktywność krypto i web3 w przeglądarce, manipuluje interakcjami z portfelem i przepisuje miejsca docelowe płatności,” wyjaśnił Charlie Eriksen z Aikido Security, jak podaje BC.
Dodał: „Co czyni go niebezpiecznym, to fakt, że działa na wielu płaszczyznach: zmienia treść wyświetlaną na stronach internetowych, manipuluje wywołaniami API i wpływa na to, co aplikacje użytkowników sądzą, że podpisują”.
CoinTelegraph zauważa, że atak konkretnie celuje w użytkowników, którzy zainstalowali lub zaktualizowali skompromitowane pakiety za pośrednictwem aplikacji internetowych. Twórcy oprogramowania korzystający ze starszych wersji pozostają chronieni, ale użytkownicy portfeli oprogramowania, którzy polegają na najnowszych portfelach oprogramowania, są najbardziej narażeni na niebezpieczeństwo.
Portfele sprzętowe wymagające ręcznej weryfikacji transakcji oferują najmocniejszą ochronę bezpieczeństwa.
BC informuje, że NPM usunął kilka szkodliwych wersji, w tym pakiet debug, pobierany 357,6 miliona razy na tydzień. Eksperci ds. bezpieczeństwa radzą użytkownikom ostrożne obchodzenie się z transakcjami kryptowalut, aż wszystkie afektywne pakiety zakończą swoją pełną aktualizację bezpieczeństwa.
Poprzedni artykuł
Najnowsze artykuły 
