Sebbene un attacco hacker su larga scala mirato alle dipendenze JavaScript crypto avrebbe potuto causare gravi danni, esso è fallito. In totale sono stati rubati appena 500 dollari.
Questo attacco hacker mirato alle dipendenze JavaScript crypto fallisce
Lunedì sera abbiamo segnalato una falla con un potenziale di danno piuttosto consistente, poiché uno sfruttamento su larga scala avrebbe potuto mettere in pericolo molti portafogli crypto. In breve, l’attacco era rivolto all’account di uno sviluppatore sul gestore di pacchetti JavaScript NPM.
Dato che lo sviluppatore in questione è molto seguito, sarebbero stati effettuati oltre un miliardo di download di programmi fraudolenti, dando teoricamente la possibilità agli aggressori di sottrarre fondi falsificando gli indirizzi sulle applicazioni che utilizzano tali pacchetti.
Nonostante tutto, questo caso ha causato più paura che danni, poiché i dati di Arkham rivelano che in totale sarebbero stati rubati appena 500 dollari:
Su X, Charles Guillemet, direttore tecnico di Ledger, spiega che gli errori dell’autore dell’attacco hanno permesso di individuare rapidamente la manovra. Tuttavia, mette in guardia da questo tipo di minacce, che non devono essere prese alla leggera:
Ciononostante, questo è un chiaro monito: se i vostri fondi sono conservati in un portafoglio software o su una piattaforma di scambio, basta una sola esecuzione di codice per perderli completamente. Le compromissioni della catena di approvvigionamento rimangono un potente vettore di diffusione di malware e stiamo assistendo anche all’emergere di attacchi più mirati. I portafogli hardware sono progettati per resistere a queste minacce. Funzionalità come la firma chiara consentono di confermare con precisione ciò che sta accadendo, mentre i controlli delle transazioni segnalano le attività sospette prima che sia troppo tardi. Il pericolo immediato potrebbe essere passato, ma la minaccia è ancora presente.
Da parte loro, diversi sviluppatori di portafogli hanno affermato che la loro applicazione rimane sicura, tra cui MetaMask e OKX Wallet.
