Krypto-brukere oppfordres til å være ekstremt forsiktige etter NPM-angrep som rammer kjerne JavaScript-biblioteker

Største forsyningskjedeangrepet i historien

Hackere har kompromittert mye brukte JavaScript-programvarebiblioteker i det som omtales som det største forsyningskjedeangrepet i historien. Den injiserte skadelig programvaren er angivelig designet for å stjele kryptovaluta ved å bytte lommebokadresser og avlytte transaksjoner.

Angrepet på Node Package Manager (NPM)

Ifølge flere rapporter mandag, brøt hackere seg inn i Node Package Manager (NPM)-kontoen til en kjent utvikler og la inn skadelig programvare i populære JavaScript-biblioteker som brukes av millioner av apper. Den ondsinnede koden bytter eller kaprer kryptovaluta-lommebokadresser, noe som setter prosjekter verdt milliarder av nedlastinger i fare.

«Det pågår et storskala forsyningskjedeangrep: NPM-kontoen til en anerkjent utvikler har blitt kompromittert,» advarte Ledger sin teknologidirektør Charles Guillemet mandag. «De berørte pakkene har allerede blitt lastet ned over 1 milliard ganger, noe som betyr at hele JavaScript-økosystemet kan være i fare.»

Berørte pakker og risiko

Angrepet målrettet pakker som [navn på pakker], og [navn på pakker] — små verktøy begravd dypt i avhengighetstrærne til utallige prosjekter. Sammen lastes disse bibliotekene ned mer enn en milliard ganger hver uke, noe som betyr at selv utviklere som aldri har installert dem direkte kan være utsatt.

NPMs rolle og angrepets natur

NPM fungerer som en appbutikk for utviklere — et sentralt bibliotek hvor de deler og laster ned små kodepakker for å bygge JavaScript-prosjekter. Angriperne ser ut til å ha plantet en krypto-clipper, en type skadelig programvare som stille erstatter lommebokadresser under transaksjoner for å omdirigere midler.

Beskyttelse og fremtidige trusler

Sikkerhetsforskere advarte om at brukere som er avhengige av programvare-lommebøker kan være spesielt sårbare, mens de som bekrefter hver transaksjon med en maskinvare-lommebok er bedre beskyttet. Det er fortsatt uklart om den skadelige programvaren også prøver å stjele frøfraser direkte. Dette er en utviklende historie, og ytterligere informasjon vil bli lagt til etter hvert som den blir tilgjengelig.

Relaterte innlegg

Siste fra Blog

Hong Kong slår ned på strømtyveri i kryptovaluta-gruvedrift – mistenkte kan få opptil 5 års fengsel

Arrestasjon av menn for kryptovaluta-mining Hongkongs rettshåndhevelse har nylig arrestert to lokale menn for angivelig å ha installert en «mining rig» på et omsorgssenter for funksjonshemmede i Cheung Sha Wan for å

California-mann dømt for sin rolle i global digital eiendelsinvesteringssvindel som resulterte i tyveri av mer enn 36,9 millioner dollar fra ofre

Dømt for Hvitvasking av Millioner En mann fra California ble i dag dømt til 51 måneder i føderalt fengsel for sin rolle i å hvitvaske mer enn 36,9 millioner dollar fra ofre

Største NPM-angrep i kryptohistorien stjal mindre enn 50 dollar: SEAL

Kryptovaluta Stjålet i Stort Forsyningskjedeangrep Hackere har klart å stjele kryptovaluta verdt mindre enn 50 dollar fra et massivt forsyningskjedeangrep som rammet JavaScript-programvarebiblioteker, ifølge sikkerhetsforskere i bransjen. Kryptovaluta-intelligensplattformen Security Alliance delte sine

Putin-rådgiver anklager USA for å bruke krypto og gull for å unnslippe massiv gjeld

USA og Kryptovaluta En rådgiver for den russiske presidenten Vladimir Putin har uttalt at USA forsøker å bruke kryptovaluta og gull for å unnslippe sin massive gjeld. Under en pressebriefing på det

Luxor og Canaan samarbeider om finansiering av over 5 000 Avalon A15 Pro-minere

Canaan Inc. og Luxor Technology Corporation inngår samarbeid Canaan Inc. har inngått et samarbeid med Luxor Technology Corporation for å tilby finansiering til bitcoin-gruvedriftmaskiner. Avtalen gjør det mulig for en navngitt amerikansk

SwissBorg Rammet av $41,5M SOL-hack etter API-partnerbrudd

SwissBorgs Token-tap etter API-kompromittering Den sveitsiske kryptoplattformen SwissBorg mistet tokens verdt $41,5 millioner i Solana (SOL) etter at hackere kompromitterte partner-API-leverandøren Kiln. Dette markerer det siste i en ødeleggende serie av cyberangrep

Kasakhstan Planlegger $1 Milliard Investering for å Styrke Høyteknologisektoren

Investering i Høyteknologisektoren Kasakhstans president Kassym-Jomart Tokayev har understreket betydningen av å tiltrekke kapital til høyteknologisektoren. Han har instruert regjeringen og nasjonalbanken om å utvikle en investeringsplan verdt opptil 1 milliard dollar

Justisministeren i D.C. anklager Athena Bitcoin for svindel mot eldre

Washington D.C. Justisminister Anklager Bitcoin ATM-operatør Washington, D.C. justisminister Brian L. Schwalb har mandag avduket et søksmål mot Athena Bitcoin, Inc., og anklager Bitcoin ATM-operatøren for konsekvent å ignorere svindel som retter

Aethir-prisen øker med 43% i takt med ny oppgang for DePIN-tokens

Aethirs Prisoppgang Aethirs pris steg da kryptovalutamarkedet registrerte en oppgang, med tokenets gevinster som overgikk de i økosystemet for desentraliserte fysiske infrastrukturnettverk. Aethir (ATH) tokenet handlet til en intradag høyde nær $0,045,

Hvorfor Sharplinks plan om å stake Ethereum på Linea fikk en dempet respons fra investorer

Sharplink og Ethereum-staking Ethereum-treasury-selskapet Sharplink fikk en dempet respons fra investorer da det forrige uke informerte Decrypt om at de planlegger å stake en del av de 3,6 milliarder dollar verdt ETH