Un attacco mirato sta colpendo l’ecosistema JavaScript attraverso moduli NPM molto utilizzati. Compromettendo l’account di uno sviluppatore rinomato, gli aggressori iniettano un malware in grado di modificare gli indirizzi di ricezione crittografica al volo, esponendo gli utenti a un alto rischio di furto durante le transazioni on-chain.
Cosa sta succedendo? Un malware sta dirottando i tuoi indirizzi crittografici
Un attacco alla catena di approvvigionamento, ovvero ai componenti, alle librerie, agli strumenti e ai servizi utilizzati dagli sviluppatori, di portata senza precedenti sta attualmente colpendo l’intero ecosistema JavaScript e, per estensione, quello delle criptovalute.
Infatti, l’account NPM dello sviluppatore “qix”, responsabile della manutenzione di numerose librerie popolari, è stato recentemente compromesso.
Risultato: sono state pubblicate versioni dannose di pacchetti (piccoli moduli di codice riutilizzabili) molto utilizzati come “chalk”, “strip-ansi”, “color-convert”, “error-ex” o “is-core-module”.
Con diverse centinaia di milioni di download settimanali cumulativi, questi pacchetti sarebbero ormai molto diffusi nell’ecosistema Node.js, interessando migliaia di progetti.
🚨 È in corso un attacco su larga scala alla catena di approvvigionamento: l’account NPM di uno sviluppatore affidabile è stato compromesso. I pacchetti interessati sono già stati scaricati oltre 1 miliardo di volte, il che significa che l’intero ecosistema JavaScript potrebbe essere a rischio.
Il payload dannoso funziona…
— Charles Guillemet (@P3b7_) 8 settembre 2025
Sebbene a prima vista la situazione sembri catastrofica, questo attacco riguarda solo i siti web che hanno pubblicato un aggiornamento dopo la compromissione del pacchetto NPM in questione. I progetti che non hanno ancora effettuato l’aggiornamento utilizzano ancora la versione precedente non compromessa.
Il malware iniettato sarebbe un sofisticato “crypto-clipper”:
- Intercetta le vostre richieste di rete e le vostre transazioni in criptovalute;
- Rileva gli indirizzi Bitcoin, Ethereum, Solana, ecc. nei dati,
- E li sostituisce discretamente con gli indirizzi dell’autore dell’attacco.
Ciò significa che, anche se credi di inviare fondi a un indirizzo legittimo, il malware può modificarlo nel tuo browser o telefono all’ultimo secondo.
Il codice opera su più livelli: manipola sia il contenuto visualizzato sui siti web, sia le risposte delle API, sia ciò che le tue applicazioni credono di firmare. Ciò rende l’attacco particolarmente pericoloso per coloro che non utilizzano un portafoglio hardware (hardware wallet).
Come proteggersi?
Se utilizzi un portafoglio hardware (Ledger, Trezor, ecc.): sei protetto purché verifichi attentamente che l’indirizzo sullo schermo del portafoglio (e non sul tuo telefono o computer) sia corretto prima di firmare.
Se utilizzi un portafoglio software o interagisci con smart contract: sospendi immediatamente qualsiasi transazione on-chain.
È meglio attendere che la situazione torni sotto controllo prima di riprendere la tua attività
Un partner di SwissBorg ha appena subito un incidente che ha causato la perdita di 193.000 SOL
Sebbene non sia ancora possibile sapere se queste due vicende siano collegate, la piattaforma di scambio SwissBorg ha recentemente dichiarato di aver individuato una falla nell’API del suo partner Kiln, che ha avuto un impatto sul suo programma “SOL Earn” per circa 193.000 SOL, ovvero meno dell’1% dei suoi utenti.
Secondo l’azienda, l’applicazione rimane sicura e utilizzabile. SwissBorg ha immediatamente mobilitato la sua liquidità in SOL per compensare le perdite e avrebbe già iniziato a collaborare con esperti di sicurezza informatica per recuperare i fondi rubati. Gli utenti interessati dovrebbero essere contattati via e-mail a breve.
