Cuộc tấn công chuỗi cung ứng lớn nhất trong lịch sử nhắm vào người dùng crypto thông qua các gói JavaScript bị xâm nhập

Một cuộc tấn công mạng mới đang âm thầm nhắm vào tiền mã hóa của người dùng trong quá trình giao dịch, giữa một sự cố mà các nhà nghiên cứu an ninh mô tả là cuộc tấn công chuỗi cung ứng lớn nhất trong lịch sử.

BleepingComputer đưa tin rằng tin tặc đã xâm nhập vào các tài khoản quản trị viên gói NPM thông qua email lừa đảo và cài đặt phần mềm độc hại đánh cắp tiền mã hóa.

Cuộc tấn công nhắm vào các nhà phát triển JavaScript bằng các email giả mạo có vẻ như xuất phát từ “support@npmjs.help”, một tên miền giả mạo bắt chước registry NPM hợp pháp.

Các tin nhắn lừa đảo cảnh báo các quản trị viên rằng tài khoản của họ sẽ bị khóa vào ngày 10 tháng 9, trừ khi họ cập nhật thông tin xác thực xác thực hai yếu tố thông qua một liên kết độc hại.

Kẻ tấn công đã thành công xâm nhập 18 gói JavaScript được sử dụng rộng rãi với tổng số lượt tải về hàng tuần vượt quá 2.6 tỷ.

Các thư viện bị xâm nhập bao gồm các công cụ phát triển cơ bản như “chalk” (300 triệu lượt tải về hàng tuần), “debug” (358 triệu), và “ansi-styles” (371 triệu), ảnh hưởng đến hầu như toàn bộ hệ sinh thái JavaScript.

Nhắm mục tiêu vào tiền mã hóa

Mã độc hoạt động như một trình chặn dựa trên trình duyệt, giám sát lưu lượng mạng để phát hiện các giao dịch tiền mã hóa trên các mạng Ethereum, Bitcoin, Solana, Tron, Litecoin và Bitcoin Cash.

Khi người dùng bắt đầu chuyển tiền mã hóa, phần mềm độc hại âm thầm thay thế địa chỉ ví đích bằng các tài khoản do kẻ tấn công kiểm soát trước khi ký giao dịch.

Nhà nghiên cứu bảo mật Aikido Security, Charlie Eriksen giải thích:

“Điều khiến nó nguy hiểm là nó hoạt động ở nhiều lớp: thay đổi nội dung hiển thị trên các trang web, can thiệp vào các cuộc gọi API, và thao túng những gì mà ứng dụng của người dùng tin rằng họ đang ký.”

Giám đốc công nghệ Ledger, Charles Guillemet cảnh báo người dùng tiền mã hóa về mối đe dọa đang diễn ra, lưu ý rằng hệ sinh thái JavaScript có thể đã bị xâm nhập với số lượt tải về khổng lồ như vậy.

Người dùng ví phần cứng vẫn được bảo vệ nếu họ xác minh chi tiết giao dịch trước khi ký, trong khi người dùng ví phần mềm đối mặt với rủi ro cao hơn. Guillemet khuyên:

“Nếu bạn không sử dụng ví phần cứng, hãy tạm thời không thực hiện bất kỳ giao dịch on-chain nào.”

Ông cũng lưu ý rằng chưa rõ liệu kẻ tấn công có thể trực tiếp trích xuất seed phrase từ ví phần mềm hay không.

Nhắm mục tiêu tinh vi

Cuộc tấn công này đại diện cho một hình thức nhắm mục tiêu chuỗi cung ứng tinh vi, trong đó tội phạm xâm nhập vào cơ sở hạ tầng phát triển đáng tin cậy để tiếp cận người dùng cuối.

Bằng cách xâm nhập các gói được tải về hàng tỷ lần mỗi tuần, kẻ tấn công đã có quyền truy cập chưa từng có vào các ứng dụng và giao diện ví tiền mã hóa.

BleepingComputer đã xác định cơ sở hạ tầng lừa đảo chuyển thông tin xác thực đến “websocket-api2.publicvm.com”, cho thấy tính phối hợp của chiến dịch này.

Sự cố này nối tiếp các vụ xâm nhập thư viện JavaScript tương tự trong suốt năm 2025, bao gồm cuộc tấn công vào tháng 7 nhắm vào “eslint-config-prettier” với 30 triệu lượt tải về hàng tuần, và các vụ xâm nhập vào tháng 3 ảnh hưởng đến mười thư viện NPM phổ biến.

Bài viết Largest supply chain attack in history targets crypto users through compromised JavaScript packages xuất hiện đầu tiên trên CryptoSlate.