Il più grande attacco alla supply chain della storia prende di mira gli utenti crypto tramite pacchetti JavaScript compromessi

Un nuovo attacco informatico sta silenziosamente prendendo di mira le criptovalute degli utenti durante le transazioni, in un incidente che i ricercatori di sicurezza descrivono come il più grande attacco alla supply chain della storia.

BleepingComputer ha riportato che gli hacker hanno compromesso gli account dei manutentori dei pacchetti NPM tramite email di phishing e hanno iniettato malware che ruba criptovalute.

L'attacco ha preso di mira gli sviluppatori JavaScript con email fraudolente che sembravano provenire da “support@npmjs.help”, un dominio impersonato che imita il legittimo registro NPM.

I messaggi di phishing avvertivano i manutentori che i loro account sarebbero stati bloccati il 10 settembre, a meno che non aggiornassero le credenziali di autenticazione a due fattori tramite un link malevolo.

Gli aggressori sono riusciti a compromettere 18 pacchetti JavaScript ampiamente utilizzati, con download settimanali collettivi superiori a 2.6 miliardi.

Le librerie compromesse includono strumenti di sviluppo fondamentali come “chalk” (300 milioni di download settimanali), “debug” (358 milioni) e “ansi-styles” (371 milioni), colpendo praticamente l'intero ecosistema JavaScript.

Obiettivo: crypto

Il codice malevolo opera come un intercettore basato su browser, monitorando il traffico di rete per le transazioni crypto sulle reti Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash.

Quando gli utenti avviano trasferimenti di criptovalute, il malware sostituisce silenziosamente gli indirizzi dei wallet di destinazione con account controllati dagli aggressori prima della firma della transazione.

Il ricercatore di Aikido Security Charlie Eriksen ha spiegato:

“Ciò che lo rende pericoloso è che opera su più livelli: altera i contenuti mostrati sui siti web, manomette le chiamate API e manipola ciò che le app degli utenti credono di firmare.”

Il CTO di Ledger Charles Guillemet ha avvertito gli utenti crypto riguardo la minaccia in corso, sottolineando che l'ecosistema JavaScript potrebbe essere compromesso dato l'enorme numero di download.

Gli utenti di hardware wallet mantengono la protezione se verificano i dettagli della transazione prima della firma, mentre gli utenti di software wallet affrontano un rischio maggiore. Guillemet ha consigliato:

“Se non usi un hardware wallet, astieniti dal fare qualsiasi transazione on-chain per ora.”

Ha inoltre osservato l'incertezza sul fatto che gli aggressori possano estrarre direttamente le seed phrase dai software wallet.

Targeting sofisticato

L'attacco rappresenta un sofisticato targeting della supply chain, in cui i criminali compromettono infrastrutture di sviluppo affidabili per raggiungere gli utenti finali.

Infiltrandosi in pacchetti scaricati miliardi di volte ogni settimana, gli aggressori hanno ottenuto un accesso senza precedenti ad applicazioni di criptovalute e interfacce wallet.

BleepingComputer ha identificato l'infrastruttura di phishing che esfiltra le credenziali verso “websocket-api2.publicvm.com”, dimostrando la natura coordinata dell'operazione.

Questo incidente segue compromissioni simili di librerie JavaScript durante il 2025, incluso l'attacco di luglio a “eslint-config-prettier”, che aveva 30 milioni di download settimanali, e le compromissioni di marzo che hanno colpito dieci popolari librerie NPM.

L'articolo Largest supply chain attack in history targets crypto users through compromised JavaScript packages è apparso per la prima volta su CryptoSlate.