Il CTO di Ledger lancia l’allarme su un attacco alla supply chain di NPM che prende di mira gli utenti crypto

Un grave attacco alla supply chain ha scosso l’ecosistema crypto, minacciando utenti a livello globale. Il CTO di Ledger, Charles Guillemet, lancia l’allarme, esortando alla cautela e all’utilizzo di hardware wallet.

L’attacco, iniziato con la compromissione di un account Node Package Manager (NPM), ha già colpito miliardi di download e messo a rischio la sicurezza di milioni di dApp e transazioni crypto.

“L’account NPM di uno sviluppatore affidabile è stato compromesso. I pacchetti interessati sono già stati scaricati oltre 1 miliardo di volte,” ha avvertito Guillemet.

Ha inoltre spiegato che il malware agisce come un crypto clipper, intercettando furtivamente gli indirizzi dei wallet durante le transazioni per reindirizzare i fondi ai wallet dell’attaccante. Guillemet ha esortato gli utenti a prestare particolare attenzione, soprattutto coloro che non utilizzano hardware wallet.

“Se usi un hardware wallet, presta attenzione a ogni transazione prima di firmare e sei al sicuro. Se non lo fai, astieniti dal fare qualsiasi transazione on-chain per ora,” ha consigliato.

NPM hack: Come è avvenuta la violazione 

Secondo i report, 18 popolari pacchetti NPM sono stati trovati compromessi, inclusi pacchetti di alto profilo come ‘chalk’, ‘debug’ e ‘strip-ansi’. L’attacco, avvenuto l’8 settembre, è tra i più grandi nella storia recente, colpendo librerie con un totale di oltre 2 miliardi di download settimanali.

L’attacco sarebbe iniziato con una email di phishing che si spacciava per il supporto ufficiale NPM. L’obiettivo era Qix-, uno sviluppatore rispettato il cui account NPM è stato violato, consentendo agli attaccanti di iniettare aggiornamenti malevoli nelle popolari librerie JavaScript.

Una volta installato, il payload malevolo sostituisce silenziosamente gli indirizzi crypto copiati con altri simili controllati dall’hacker. Questa tecnica, basata sulla logica della distanza di Levenshtein, inganna gli utenti ignari inducendoli a inviare fondi agli indirizzi sbagliati.

Un indirizzo wallet principale collegato all’attacco è stato evidenziato dai ricercatori, anche se sono stati segnalati ulteriori wallet ritenuti collegati.

Sebbene Charles abbia dichiarato che non è chiaro se l’attaccante stia anche rubando direttamente i seed dei software wallet a questo punto, recenti report hanno fatto luce sui danni. Il ricercatore Rani Haddad ha categorizzato i wallet dell’attaccante su Arkham come un’entità chiamata NPM attack. I dati indicano che l’attaccante è riuscito a rubare 497,96 dollari al momento della pubblicazione.

The wallets of the attacker | Source: Arkham

Sebbene l’effetto finanziario diretto non sia così significativo, la possibile portata è immensa considerando la popolarità dei pacchetti coinvolti.

Risposta della community e prevenzione 

Diversi progetti e protocolli, come Uniswap, SUI e Jupiter, hanno affermato di non essere stati colpiti ma hanno comunque consigliato cautela. Wallet di criptovalute come Ledger e MetaMask hanno assicurato agli utenti misure di sicurezza multilivello.

Nel frattempo, l’hack alla supply chain NPM non è stato l’unico grande evento di sicurezza dell’8 settembre. La piattaforma svizzera di crypto wealth SwissBorg ha segnalato un exploit da 41 milioni di dollari tramite una partner API, che ha colpito l’1% degli utenti. Inoltre, il progetto Ethereum L2 Kinto ha annunciato la sua chiusura dopo che un exploit a luglio ha prosciugato 577 ETH, lasciando il team impossibilitato a ottenere finanziamenti.

Questa ondata di attacchi è un indicatore della crescente complessità delle minacce crypto. In futuro, utenti, sviluppatori e piattaforme dovranno adottare pratiche più sicure e audit più rigorosi dei pacchetti.