CTO của Ledger cảnh báo người dùng về mối đe dọa vi phạm chuỗi cung ứng NPM đe dọa an ninh tiền mã hóa

Một vụ vi phạm chuỗi cung ứng quy mô lớn đã làm rung chuyển cộng đồng mã nguồn mở sau khi các hacker xâm nhập vào tài khoản Node Package Manager (NPM) của một nhà phát triển uy tín. Các gói được sử dụng rộng rãi đã bị ảnh hưởng, làm dấy lên những lo ngại lớn trong toàn hệ sinh thái JavaScript.

Vụ vi phạm NPM làm dấy lên lo ngại về an toàn ví

Charles Guillemet, giám đốc công nghệ của Ledger, đã tiết lộ mức độ nghiêm trọng của mối đe dọa. Ông báo cáo rằng một tài khoản NPM lớn đã bị chiếm quyền kiểm soát và các gói bị ảnh hưởng đã được tải xuống hơn 1.1 billions lần. Với phạm vi này, ông cho biết toàn bộ hệ sinh thái JavaScript có thể đã bị lộ diện. Mã độc hoạt động âm thầm, thay đổi địa chỉ tiền mã hóa theo thời gian thực để chuyển hướng tiền đến kẻ tấn công.

Guillemet kêu gọi người dùng thận trọng. Ông giải thích rằng người dùng ví cứng vẫn an toàn nếu họ cẩn thận xác minh từng giao dịch trước khi phê duyệt. Đối với những người dựa vào ví phần mềm, ông khuyến nghị nên tránh các giao dịch on-chain cho đến khi tình hình rõ ràng hơn. Ông cũng lưu ý rằng vẫn chưa chắc chắn liệu những kẻ tấn công có đang cố gắng trực tiếp lấy seed khôi phục từ ví phần mềm hay không.

Nhà phát triển xác nhận bị chiếm quyền tài khoản

Người duy trì chính trong vụ vi phạm, Josh Junon, đã xác nhận rằng tài khoản NPM của anh đã bị xâm nhập. Trong một bài đăng trên Bluesky, anh giải thích rằng việc chiếm quyền kiểm soát này là kết quả của một chiến dịch phishing. Những kẻ tấn công đã thiết lập một tên miền giả, ‘support [at] npmjs [dot]’ help, được thiết kế để giống với trang web chính thức npmjs.com.

Những người duy trì đã nhận được các email đe dọa rằng tài khoản của họ sẽ bị khóa vào ngày 10 tháng 9 năm 2025. Những tin nhắn này bao gồm các liên kết chuyển hướng đến các trang phishing được thiết kế để đánh cắp thông tin đăng nhập. Email giả mạo cho biết:

Để duy trì bảo mật và tính toàn vẹn của tài khoản, chúng tôi trân trọng yêu cầu bạn hoàn thành cập nhật này càng sớm càng tốt. Xin lưu ý rằng các tài khoản có thông tin xác thực 2FA lỗi thời sẽ tạm thời bị khóa bắt đầu từ ngày 10 tháng 9 năm 2025 để ngăn chặn truy cập trái phép.

Các nhà phát triển khác cũng nhanh chóng báo cáo bị nhắm mục tiêu theo cách tương tự, xác nhận rằng chiến dịch phishing này đã lan rộng vượt ra ngoài một người duy trì duy nhất.

Phản ứng với vụ vi phạm NPM và phân tích kỹ thuật

Nhóm NPM đã hành động nhanh chóng khi phát hiện ra vụ vi phạm, tiến hành gỡ bỏ các phiên bản độc hại được tải lên bởi kẻ tấn công. Trong số đó có một bản phát hành của gói debug, vốn được tải xuống hàng trăm triệu lần mỗi tuần—ước tính khoảng 357 millions.

Phân tích thêm được thực hiện bởi Aikido Security, và cuộc điều tra đã tiết lộ những điều sau:

• Kẻ tấn công đã thêm mã độc vào các tệp index.js của các gói bị chiếm quyền. Điều này hoạt động như một bộ chặn trình duyệt, chiếm quyền lưu lượng truy cập và nhắm mục tiêu người dùng crypto.
• Phần mềm độc hại nhúng vào trình duyệt và móc vào các hàm như fetch, XMLHttpRequest và các API ví như window.ethereum và Solana, cho phép nó truy cập vào hoạt động web và ví.
• Khi hoạt động, nó quét dữ liệu để tìm địa chỉ ví trên Ethereum, Bitcoin, Solana, Tron, Litecoin và Bitcoin Cash. Các địa chỉ phát hiện được sẽ bị thay thế bằng địa chỉ do kẻ tấn công kiểm soát, thường được làm cho giống với địa chỉ thật.
• Nó thay đổi chi tiết giao dịch trước khi ký, thay đổi người nhận, phê duyệt hoặc hạn mức trong khi giao diện vẫn hiển thị bình thường, gửi tiền đến kẻ tấn công.
• Để tránh bị phát hiện, nó không thay đổi gì khi ví xuất hiện, thay vào đó chạy âm thầm trong nền và thao túng các giao dịch thực.

Kêu gọi tăng cường biện pháp phòng ngừa

Trong bình luận với CoinDesk, Guillemet cảnh báo rằng các ứng dụng phi tập trung hoặc ví phần mềm bao gồm các gói bị xâm nhập có thể không an toàn, khiến người dùng crypto có nguy cơ mất tiền. Ông nhấn mạnh rằng biện pháp bảo vệ đáng tin cậy nhất là ví cứng với màn hình bảo mật hỗ trợ Clear Signing.

Phương pháp này cho phép người dùng xác minh địa chỉ và chi tiết của từng giao dịch trực tiếp trên màn hình thiết bị, đảm bảo rằng những gì họ phê duyệt phù hợp với ý định của họ.

Ông bổ sung rằng tình huống này là lời nhắc nhở mạnh mẽ về các thực hành thiết yếu: “luôn xác minh giao dịch của bạn, không bao giờ ký mù quáng.” Ông cũng khuyến nghị sử dụng ví cứng có màn hình bảo mật để đảm bảo an toàn.