Eksploatacja łańcucha dostaw NPM to szeroko zakrojony kompromis renomowanych pakietów JavaScript, który może po cichu podmieniać adresy krypto podczas transakcji i kraść środki. Użytkownicy powinni unikać podpisywania transakcji, przeprowadzić audyt zintegrowanych pakietów oraz natychmiast zaktualizować lub usunąć zainfekowane moduły, aby ograniczyć ryzyko.
-
Złośliwa podmiana adresów w portfelach webowych celuje w transakcje kryptowalutowe.
-
Kompromitacji uległy szeroko stosowane moduły NPM, takie jak „color-name” i „color-string”.
-
Zainfekowane pakiety zostały pobrane ponad 1 miliard razy, zwiększając ekspozycję cross-chain.
Eksploatacja łańcucha dostaw NPM: PRZESTAŃ podpisywać transakcje teraz — zweryfikuj pakiety i zabezpiecz portfele. Dowiedz się, jakie kroki ochronne podjąć natychmiast.
Czym jest eksploatacja łańcucha dostaw NPM?
Eksploatacja łańcucha dostaw NPM to kompromitacja renomowanych kont deweloperskich, która wstrzykuje złośliwy ładunek do pakietów JavaScript. Ładunek ten może po cichu podmieniać adresy kryptowalutowe w portfelach webowych i dApps, narażając środki na wielu łańcuchach.
Jak doszło do kompromitacji pakietów JavaScript?
Badacze bezpieczeństwa i eksperci branżowi poinformowali, że renomowane konto deweloperskie na NPM zostało przejęte, co pozwoliło atakującym publikować zainfekowane aktualizacje. Złośliwy kod został zaprojektowany do działania w kontekście przeglądarki używanym przez strony krypto i może zmieniać adresy docelowe w momencie transakcji.
Które pakiety i komponenty są zagrożone?
Firmy zajmujące się bezpieczeństwem blockchain zidentyfikowały około dwóch tuzinów popularnych pakietów NPM, w tym małe moduły narzędziowe, takie jak „color-name” i „color-string”. Ponieważ NPM jest centralnym menedżerem pakietów dla JavaScript, wiele stron internetowych i projektów front-endowych pobiera te zależności pośrednio.
| color-name | Setki milionów | Wysoki |
| color-string | Setki milionów | Wysoki |
| Inne moduły narzędziowe (łącznie) | Ponad 1 miliard łącznie | Krytyczny |
Jak użytkownicy krypto mogą teraz chronić swoje środki?
Należy natychmiast: przestać podpisywać transakcje w portfelach webowych, odłączyć portfele przeglądarkowe od dApps i unikać interakcji ze stronami korzystającymi z niezweryfikowanego JavaScriptu. W środowiskach deweloperskich należy weryfikować integralność pakietów oraz stosować rygorystyczne zasady Content Security Policy (CSP) na kontrolowanych stronach.
Jakie środki ostrożności powinni podjąć deweloperzy?
Deweloperzy muszą przypinać wersje zależności, weryfikować podpisy pakietów tam, gdzie to możliwe, uruchamiać narzędzia do skanowania łańcucha dostaw oraz przeprowadzać audyt ostatnich aktualizacji pakietów. Powrót do sprawdzonych wersji i odbudowa z plików lockfile może ograniczyć ekspozycję. Należy stosować powtarzalne buildy i niezależną weryfikację dla krytycznych bibliotek front-endowych.
Najczęściej zadawane pytania
Jak natychmiastowe jest zagrożenie dla codziennych użytkowników krypto?
Zagrożenie jest natychmiastowe dla użytkowników korzystających z portfeli webowych lub dApps, które ładują JavaScript z publicznych pakietów. Jeśli strona zależy od zainfekowanych modułów, kod podmieniający adresy może zostać wykonany w przeglądarce podczas przepływu transakcji.
Kto zidentyfikował kompromitację i co powiedział?
CTO Ledger Charles Guillemet publicznie zgłosił problem, zwracając uwagę na skalę i mechanizm podmiany adresów. Firmy zajmujące się bezpieczeństwem blockchain również poinformowały o zainfekowanych modułach. Te obserwacje pochodzą z publicznych postów i zaleceń bezpieczeństwa zgłaszanych przez ekspertów branżowych.
Kluczowe wnioski
- Przestań podpisywać transakcje: Unikaj podpisywania w portfelach webowych, dopóki pakiety nie zostaną zweryfikowane.
- Audytuj zależności: Deweloperzy muszą przypinać, podpisywać i skanować pakiety NPM używane w kodzie front-endowym.
- Stosuj środki obronne: Odłącz portfele, wyczyść sesje oraz stosuj CSP i narzędzia do skanowania łańcucha dostaw.
Podsumowanie
Eksploatacja łańcucha dostaw NPM pokazuje, jak małe pakiety narzędziowe mogą stanowić systemowe zagrożenie dla użytkowników krypto poprzez umożliwienie cichej podmiany adresów. Zachowaj postawę obronną: przestań podpisywać transakcje, audytuj zależności i stosuj się do zweryfikowanych zaleceń. COINOTAG będzie aktualizować ten raport w miarę publikowania kolejnych potwierdzonych szczegółów technicznych i rozwiązań (opublikowano 2025-09-08).
