Cílený útok zasahuje ekosystém JavaScript prostřednictvím hojně používaných modulů NPM. Útočníci kompromitují účet renomovaného vývojáře a vkládají malware, který je schopen měnit kryptoměnové přijímací adresy za běhu, čímž vystavují uživatele vysokému riziku krádeže při transakcích v řetězci.
Co se děje? Malware zneužívá vaše kryptoměnové adresy
Útok na dodavatelský řetězec, tj. komponenty, knihovny, nástroje a služby používané vývojáři, v dosud nevídaném rozsahu v současné době zasahuje celý ekosystém JavaScriptu a v širším smyslu i ekosystém kryptoměn.
Účet NPM vývojáře „qix“, správce mnoha populárních knihoven, byl totiž nedávno napaden.
Výsledkem bylo zveřejnění škodlivých verzí často používaných balíčků (malých modulů opakovaně použitelného kódu) jako „chalk“, „strip-ansi“, „color-convert“, „error-ex“ nebo „is-core-module“.
S několika stovkami milionů stažení týdně jsou tyto balíčky nyní velmi rozšířené v ekosystému Node.js a ovlivňují tisíce projektů.
🚨 Probíhá rozsáhlý útok na dodavatelský řetězec: byl napaden účet NPM renomovaného vývojáře. Dotčené balíčky již byly staženy více než 1 miliardu krát, což znamená, že celé ekosystém JavaScriptu může být ohroženo.
Škodlivý náklad funguje…
— Charles Guillemet (@P3b7_) 8. září 2025
Ačkoli se situace na první pohled jeví jako katastrofická, tento útok se týká pouze webových stránek, které zveřejnily aktualizaci po kompromitaci daného balíčku NPM. Projekty, které ještě neprovedly aktualizaci, stále používají starší, nekompromitovanou verzi.
Vložený malware je údajně sofistikovaný „krypto-clipper“:
- Zachytává vaše síťové požadavky a transakce v kryptoměnách;
- Detekuje adresy Bitcoin, Ethereum, Solana atd. v datech,
- a nenápadně je nahrazuje adresami útočníka.
To znamená, že i když si myslíte, že posíláte prostředky na legitimní adresu, malware ji může v posledním okamžiku změnit ve vašem prohlížeči nebo telefonu.
Kód funguje na několika úrovních: manipuluje jak s obsahem zobrazeným na webových stránkách, tak s odpověďmi API a tím, co vaše aplikace považují za podpis. To činí tento útok obzvláště nebezpečným pro ty, kteří nepoužívají hardwarovou peněženku (hardware wallet).
Jak se chránit?
Pokud používáte hardwarovou peněženku (Ledger, Trezor atd.): jste chráněni, pokud před podpisem pečlivě zkontrolujete, zda je adresa na obrazovce peněženky (nikoli na vašem telefonu nebo počítači) správná.
Pokud používáte softwarovou peněženku nebo dokonce komunikujete se smart kontrakty: okamžitě pozastavte všechny transakce v řetězci.
Je lepší počkat, až se situace vrátí pod kontrolu, a teprve poté pokračovat ve své činnosti.
Partner SwissBorg právě utrpěl incident, který vedl ke ztrátě 193 000 SOL
Ačkoli zatím nemůžeme vědět, zda jsou tyto dvě události spojené, burza SwissBorg nedávno oznámila, že identifikovala chybu související s API svého partnera Kiln, která měla dopad na její program „SOL Earn“ v hodnotě přibližně 193 000 SOL, což představuje méně než 1 % jejích uživatelů.
Podle společnosti zůstává aplikace bezpečná a použitelná. SwissBorg okamžitě mobilizoval své hotovostní prostředky v SOL, aby kompenzoval ztráty, a údajně již začal spolupracovat s odborníky na kybernetickou bezpečnost s cílem získat zpět ukradené prostředky. Dotčení uživatelé by měli být v nejbližší době kontaktováni e-mailem.
