Groźny atak na ekosystem JavaScript – portfele kryptowalutowe zagrożone

Wielkoskalowy atak łańcucha dostaw uderzył w społeczność JavaScript i może mieć poważne konsekwencje dla użytkowników kryptowalut. Charles Guillemet, CTO firmy Ledger, ostrzega przed poważnym zagrożeniem dla całego ekosystemu NPM: konto renomowanego dewelopera zostało przejęte, co doprowadziło do wstrzyknięcia złośliwego kodu do popularnych pakietów pobranych już ponad miliard razy.

Na czym polega atak?

Szkodliwy ładunek ukryty w zainfekowanych pakietach umożliwia podmianę adresów kryptowalutowych. Gdy użytkownik kopiuje lub wpisuje adres portfela, kod podstawia adres należący do atakującego. Transakcje są zatwierdzane w dobrej wierze i środki trafiają bezpośrednio do cyberprzestępców. Wszystko bez wiedzy ofiary.

Choć NPM zdążyło już zablokować zainfekowane wersje pakietów, istnieje realne ryzyko, że niektóre aplikacje frontendowe nadal korzystają z nieaktualnych, zbuforowanych wersji. Guillemet zaleca użytkownikom portfeli sprzętowych dokładne sprawdzanie każdego adresu przed zatwierdzeniem transakcji. Użytkownicy portfeli programowych powinni tymczasowo wstrzymać wszelką aktywność on-chain.

Reakcja ekosystemu Solana

Na zagrożenie szybko zareagowały projekty z ekosystemu Solana. Większość z nich potwierdziła, że nie była narażona na skutki ataku, ale mimo to ostrzega użytkowników przed pochopnym podpisywaniem transakcji.

• Drift Protocol: potwierdziło brak zależności od zainfekowanych pakietów w SDK oraz UI; apeluje o ostrożność przy podpisywaniu transakcji.
• Solflare Wallet: zapewnia, że użytkownicy są bezpieczni dzięki stosowaniu blokady wersji i rygorystycznych przeglądów kodu.
• Kamino Finance: brak jakichkolwiek zależności od zainfekowanych pakietów – aplikacja nie jest zagrożona.
• Marinade Finance: obecnie nie wykryto zagrożeń, ale zespół monitoruje sytuację i apeluje o czujność.
• Jupiter Exchange: zarówno aplikacja webowa, jak i mobilna są wolne od podatnych wersji – użytkownicy są bezpieczni.

Ataki łańcucha dostaw – rosnące zagrożenie

Incydent ten pokazuje, jak krucha potrafi być architektura open-source. NPM to fundament dla tysięcy projektów – zainfekowanie jednego konta deweloperskiego wystarczy, by szkodliwy kod trafił do milionów użytkowników. W kryptowalutach konsekwencje są natychmiastowe – podmieniony adres prowadzi do utraty środków. Co ważne, ataki te wykorzystują zaufanie do popularnych bibliotek, łatwo omijając zabezpieczenia i kontrole programistyczne.

Jak się chronić?

CTO Ledger zaleca ostrożność i proaktywne działania – zwłaszcza użytkownikom portfeli programowych. Sytuacja rozwija się dynamicznie i nie jest wykluczone, że poza podmianą adresów, atakujący próbują również kraść hasła seed. Dlatego najlepiej:

1. Używać wyłącznie portfeli sprzętowych i zawsze weryfikować adres transakcji na ekranie urządzenia.
2. Unikać wykonywania transakcji on-chain za pomocą portfeli programowych – przynajmniej do czasu całkowitego wyjaśnienia sytuacji.
3. Deweloperzy powinni natychmiast sprawdzić zależności swoich projektów i wyeliminować podatne wersje pakietów NPM.

Obecnie wydaje się, że sytuacja została opanowana, ale wiele znaków zapytania nadal pozostaje. Czy celem była tylko podmiana adresów, czy może także kradzież fraz seed? Odpowiedź na to pytanie zadecyduje, czy mamy do czynienia z poważnym incydentem, czy początkiem jednej z największych katastrof w historii blockchaina.

Ostrzeżenie Guillemeta przypomina, że jedno przejęte konto dewelopera może zagrozić całemu ekosystemowi open-source. Z ponad miliardem pobrań zainfekowanych pakietów, ten incydent może przejść do historii jako jeden z najpoważniejszych ataków łańcucha dostaw.