Een gerichte aanval treft het JavaScript-ecosysteem via veelgebruikte NPM-modules. Door het account van een gerenommeerde ontwikkelaar te compromitteren, injecteren de aanvallers malware die crypto-ontvangstadressen on-the-fly kan wijzigen, waardoor gebruikers een hoog risico lopen op diefstal tijdens on-chain transacties.
Wat gebeurt er? Malware kaapt uw crypto-adressen
Een aanval op de toeleveringsketen, d.w.z. de componenten, bibliotheken, tools en diensten die door ontwikkelaars worden gebruikt, van ongekende omvang treft momenteel het hele JavaScript-ecosysteem en bij uitbreiding dat van cryptovaluta’s.
Het NPM-account van de ontwikkelaar “qix”, beheerder van talrijke populaire bibliotheken, is onlangs gehackt.
Het resultaat: er zijn kwaadaardige versies gepubliceerd voor veelgebruikte pakketten (kleine herbruikbare codemodules) zoals “chalk”, “strip-ansi”, “color-convert”, “error-ex” en “is-core-module”.
Met in totaal honderden miljoenen downloads per week zouden deze pakketten nu wijdverspreid zijn in het Node.js-ecosysteem, waardoor duizenden projecten worden getroffen.
🚨 Er is een grootschalige aanval op de toeleveringsketen gaande: het NPM-account van een gerenommeerde ontwikkelaar is gehackt. De getroffen pakketten zijn al meer dan 1 miljard keer gedownload, wat betekent dat het hele JavaScript-ecosysteem mogelijk gevaar loopt.
De kwaadaardige payload werkt…
— Charles Guillemet (@P3b7_) 8 september 2025
Hoewel de situatie op het eerste gezicht rampzalig lijkt, heeft deze aanval alleen betrekking op websites die een update hebben gepubliceerd nadat het betreffende NPM-pakket was gecompromitteerd. Projecten die de update nog niet hebben uitgevoerd, gebruiken nog steeds de oude, niet-gecompromitteerde versie.
De geïnjecteerde malware zou een geavanceerde “crypto-clipper” zijn:
- Het onderschept uw netwerkverzoeken en uw transacties in crypto’s;
- Het detecteert Bitcoin-, Ethereum-, Solana-adressen enz. in de gegevens,
- en vervangt deze onopvallend door de adressen van de aanvaller.
Dit betekent dat, zelfs als u denkt geld naar een legitiem adres te sturen, de malware dit op het laatste moment in uw browser of telefoon kan wijzigen.
De code werkt op verschillende niveaus: hij manipuleert zowel de inhoud die op websites wordt weergegeven, de antwoorden van API’s als wat uw applicaties denken te ondertekenen. Dit maakt de aanval bijzonder gevaarlijk voor mensen die geen hardware wallet gebruiken.
Hoe kunt u zich beschermen?
Als u een hardware wallet (Ledger, Trezor, enz.) gebruikt: u bent beschermd zolang u zorgvuldig controleert of het adres op het scherm van de wallet (en niet op uw telefoon of computer) correct is voordat u ondertekent.
Als u een software wallet gebruikt of zelfs interactie hebt met smart contracts: schort onmiddellijk alle on-chain transacties op.
Het is beter om te wachten tot de situatie weer onder controle is om uw activiteiten te hervatten
Een partner van SwissBorg heeft zojuist een incident meegemaakt, wat heeft geleid tot het verlies van 193.000 SOL
Hoewel we nog niet kunnen weten of deze twee verhalen verband houden met elkaar, heeft het SwissBorg-handelsplatform onlangs verklaard dat het een lek heeft ontdekt in de API van zijn partner Kiln, waardoor zijn “SOL Earn”-programma voor ongeveer 193.000 SOL is getroffen, wat minder dan 1% van zijn gebruikers betreft.
Volgens het bedrijf blijft de applicatie veilig en bruikbaar. SwissBorg heeft onmiddellijk zijn kasmiddelen in SOL ingezet om de verliezen te compenseren en zou al zijn begonnen met het inschakelen van cyberbeveiligingsexperts om de gestolen middelen terug te krijgen. De betrokken gebruikers zouden binnenkort per e-mail worden gecontacteerd.
