Bitget App

Торгуйте разумнее

Технический директор Ripple хвалит Xaman, в то время как технический директор Ledger призывает к осторожности после атаки на цепочку поставок NPM, которая могла бы перенаправить средства XRP

Технический директор Ripple хвалит Xaman, в то время как технический директор Ledger призывает к осторожности после атаки на цепочку поставок NPM, которая могла бы перенаправить средства XRP

Coinotag2025/09/08 21:24

Показать оригинал

Автор:Marisol Navaro

Кошелек Xaman был оперативно проверен и подтверждена безопасность пользователей после атаки на цепочку поставок в экосистеме NPM, в результате которой было внедрено вредоносное ПО, нацеленное на криптокошельки. Быстрая реакция Xaman и оповещения сообщества снизили риски; пользователям рекомендуется проверять целостность пакетов и при отсутствии аппаратной подписи приостанавливать рискованные on-chain действия.

Xaman провел немедленный аудит и не обнаружил компрометации своего кошелька.
Вредоносные пакеты NPM нацеливались на браузерные кошельки, незаметно подменяя адреса получателей.
Представители отрасли, включая David Schwartz и Charles Guillemet, призвали к бдительности; аудит и аппаратная подпись снижают риски.

Атака на цепочку поставок NPM для кошелька Xaman: Xaman оперативно провел аудит своего приложения после того, как вредоносное ПО NPM нацелилось на криптокошельки; узнайте, как проверить пакеты и защитить свои средства прямо сейчас.

Что произошло при атаке на цепочку поставок NPM для кошелька Xaman?

Атака на цепочку поставок NPM для кошелька Xaman была связана с компрометацией аккаунта разработчика NPM, что позволило распространить вредоносный код в широко используемых JavaScript-пакетах. Эти вредоносные пакеты пытались атаковать криптовалютные кошельки на базе браузера, подменяя или перенаправляя адреса получателей, подвергая риску пользователей, которые полагаются на непроверенные пакеты или неподписанные транзакции.

Как Xaman отреагировал на инцидент с цепочкой поставок?

Команда Xaman немедленно инициировала внутренний аудит и публично предупредила пользователей. В ходе проверки не было обнаружено признаков компрометации клиента Xaman, а пользователям были даны рекомендации по проверке. David Schwartz (CTO, Ripple) публично похвалил быструю реакцию Xaman и прозрачную коммуникацию.

Почему атаки на цепочку поставок NPM нацелены на криптокошельки?

Злоумышленники используют модель доверия менеджеров пакетов: небольшие изменения в доверенных пакетах могут быть широко распространены и выполнены в пользовательских средах. Вредоносное ПО, нацеленное на криптокошельки, автоматизирует подмену адресов или манипуляции буфером обмена для перенаправления средств на адреса злоумышленников, особенно затрагивая менее опытных пользователей.

Как пользователям защитить средства после компрометации цепочки поставок?

Следуйте немедленным шагам по проверке и защите: приостановите несущественные on-chain транзакции, если у вас нет аппаратной подписи; проверяйте контрольные суммы пакетов и поддерживайте программное обеспечение в актуальном состоянии; используйте аппаратные кошельки с явной процедурой подписи для крупных переводов.

David Schwartz, технический директор Ripple, похвалил Xaman за оперативное реагирование на инцидент. Аккаунт уважаемого разработчика NPM был скомпрометирован, и в нескольких JavaScript-пакетах был обнаружен вредоносный код, нацеленный на браузерные кошельки.

Вредоносное ПО специально нацеливалось на популярные криптокошельки, перехватывая или подменяя адреса получателей для перенаправления средств. Эта техника рассчитана на пользователей, которые не проверяют детали транзакций или полагаются на неподписанные браузерные запросы.

Как сообщает COINOTAG, технический директор Ledger Charles Guillemet рекомендовал пользователям, не имеющим аппаратных кошельков с явной подписью на устройстве, временно воздержаться от on-chain транзакций до подтверждения целостности пакетов.

К какому выводу пришел аудит Xaman?

Команда Xaman провела ускоренный аудит безопасности и подтвердила, что официальная версия Xaman не была скомпрометирована. Команда кошелька также опубликовала рекомендуемые шаги по проверке и призвала пользователей обновляться только через официальные каналы и проверять подписи пакетов, если это возможно.

Соучредитель XRPL Labs Wietse Wind отметил, что атаки на цепочку поставок становятся все более частыми, что подчеркивает необходимость более строгой подписи пакетов и гигиены зависимостей во всей экосистеме JavaScript.

Как разработчики и пользователи могут проверять пакеты?

Разработчикам следует использовать воспроизводимые сборки, цифровые подписи и lockfiles. Пользователям рекомендуется проверять контрольные суммы, отдавать предпочтение подписанным релизам и избегать установки непроверенных пакетов. Регулярный аудит зависимостей и минимальное использование сторонних пакетов снижают риски.

Часто задаваемые вопросы

Был ли кошелек Xaman действительно скомпрометирован?

Ускоренный аудит Xaman не выявил признаков компрометации официальных сборок кошелька. Инцидент был связан с зараженными пакетами NPM из скомпрометированного аккаунта разработчика; релизы Xaman остались безопасными после проверки.

Стоит ли мне сейчас прекратить on-chain транзакции?

Технический директор Ledger Charles Guillemet рекомендовал пользователям без аппаратных кошельков с явной подписью на устройстве рассмотреть возможность приостановки on-chain транзакций до подтверждения целостности пакетов. Для крупных переводов отдавайте приоритет аппаратной подписи.

Как обезопасить свой кошелек после атаки на цепочку поставок? (Пошагово)

Следуйте этим практическим и приоритетным шагам для снижения рисков и проверки целостности клиента.

Приостановите on-chain транзакции, если у вас нет аппаратной подписи для критически важных переводов.
Проверьте контрольную сумму или подпись сборки кошелька по официальным релиз-заметкам издателя.
Обновляйте кошелек только через официальные каналы и при необходимости переустановите из проверенных бинарных файлов.
Используйте аппаратный кошелек с явной подписью на устройстве для всех значимых транзакций.
Проведите аудит установленных зависимостей и удалите неиспользуемые или ненадежные пакеты.

Ключевые выводы

Немедленный аудит имеет значение: Быстрый аудит Xaman ограничил риски для пользователей и прояснил ситуацию с безопасностью.
Риски цепочки поставок реальны: Вредоносные пакеты NPM могут незаметно атаковать процессы кошелька и поля адресов.
Защитные меры: Проверяйте подписи, используйте аппаратные кошельки и отдавайте предпочтение подписанным релизам для криптоопераций.

Заключение

Атака на цепочку поставок NPM для кошелька Xaman подчеркивает растущую угрозу вредоносного ПО на уровне зависимостей в экосистеме JavaScript. Xaman оперативно провел аудит и уведомил сообщество, снизив неопределенность, а эксперты, включая David Schwartz и Charles Guillemet, призвали к осторожности. Пользователям рекомендуется проверять сборки, использовать аппаратную подпись и следовать официальным рекомендациям команд кошельков для защиты средств.

Опубликовано COINOTAG 2025-09-08. Последнее обновление 2025-09-08.

In Case You Missed It: Traders Weigh Which Major Asset May Lead Next Move as Bitcoin Remains Indecisive and Sentiment Cools

Дисклеймер: содержание этой статьи отражает исключительно мнение автора и не представляет платформу в каком-либо качестве. Данная статья не должна являться ориентиром при принятии инвестиционных решений.

PoolX: вносите активы и получайте новые токены.

APR до 12%. Аирдропы новых токенов.

Внести!

Вам также может понравиться

Снижение ставок ФРС на 75–100 б.п. в 2025 году может вскоре спровоцировать волну покупок Bitcoin ETF на $6 млрд

CryptoSlate•2025/09/09 20:34

MYX вырос на 200%, ликвидировал $48.7M с коротких позиций, превысив BTC и ETH по объёму ликвидаций, а объёмы торгов превысили XRP

CryptoSlate•2025/09/09 20:33

Трёхэтапный сценарий крипторынка: краткосрочная нестабильность, среднесрочный взлёт, долгосрочные опасения — анализ циклов BTC, ETH и альткоинов

BTC_Chopsticks•2025/09/09 20:32

Ethena вступает в гонку USDH при поддержке BlackRock BUIDL, Anchorage, Securitize

CryptoSlate•2025/09/09 20:32