Ukierunkowany atak uderza w ekosystem JavaScript poprzez popularne moduły NPM. Wykorzystując konto renomowanego programisty, atakujący wprowadzają złośliwe oprogramowanie, które może modyfikować adresy odbiorcze kryptowalut w locie, narażając użytkowników na wysokie ryzyko kradzieży podczas transakcji w łańcuchu bloków.
Co się dzieje? Złośliwe oprogramowanie przejmuje adresy kryptowalutowe
Atak na łańcuch dostaw, czyli komponenty, biblioteki, narzędzia i usługi wykorzystywane przez programistów, o niespotykanej dotąd skali uderza obecnie w cały ekosystem JavaScript, a co za tym idzie, również w ekosystem kryptowalut.
W rzeczywistości konto NPM programisty „qix”, opiekuna wielu popularnych bibliotek, zostało niedawno przejęte.
W rezultacie opublikowano złośliwe wersje popularnych pakietów (małych modułów kodu wielokrotnego użytku), takich jak „chalk”, „strip-ansi”, „color-convert”, „error-ex” czy „is-core-module”.
Z kilkuset milionami pobrań tygodniowo, pakiety te są obecnie bardzo rozpowszechnione w ekosystemie Node.js, co ma wpływ na tysiące projektów.
🚨 Trwa atak na łańcuch dostaw na dużą skalę: konto NPM renomowanego programisty zostało przejęte. Dotknięte atakiem pakiety zostały już pobrane ponad miliard razy, co oznacza, że cała ekosystem JavaScript może być zagrożony.
Złośliwy ładunek działa…
— Charles Guillemet (@P3b7_) 8 września 2025 r.
Chociaż na pierwszy rzut oka sytuacja wydaje się katastrofalna, atak ten dotyczy tylko stron internetowych, które opublikowały aktualizację po naruszeniu bezpieczeństwa pakietu NPM. Projekty, które nie zostały jeszcze zaktualizowane, nadal korzystają ze starej, niezawodnej wersji.
Wstrzyknięte złośliwe oprogramowanie jest prawdopodobnie zaawansowanym „kryptoklipperem”:
- Przechwytuje ono żądania sieciowe i transakcje kryptowalutowe;
- Wykrywa adresy Bitcoin, Ethereum, Solana itp. w danych,
- I dyskretnie zastępuje je adresami atakującego.
Oznacza to, że nawet jeśli użytkownik sądzi, że wysyła środki na legalny adres, złośliwe oprogramowanie może go zmienić w przeglądarce lub telefonie w ostatniej chwili.
Kod działa na kilku poziomach: manipuluje zarówno treścią wyświetlaną na stronach internetowych, odpowiedziami API, jak i tym, co Twoje aplikacje uważają za podpis. To sprawia, że atak jest szczególnie niebezpieczny dla osób, które nie korzystają z portfela sprzętowego (hardware wallet).
Jak się chronić?
Jeśli korzystasz z portfela sprzętowego (Ledger, Trezor itp.): jesteś chroniony, o ile przed podpisaniem dokładnie sprawdzisz, czy adres wyświetlany na ekranie portfela (a nie na telefonie lub komputerze) jest prawidłowy.
Jeśli korzystasz z portfela programowego lub nawet współpracujesz z inteligentnymi kontraktami: natychmiast zawiesić wszelkie transakcje w łańcuchu bloków.
Lepiej poczekać, aż sytuacja wróci do normy, aby wznowić działalność.
Partner SwissBorg padł ofiarą incydentu, który spowodował utratę 193 000 SOL
Chociaż nie możemy jeszcze stwierdzić, czy te dwie historie są ze sobą powiązane, platforma wymiany SwissBorg ogłosiła niedawno, że zidentyfikowała lukę związaną z API swojego partnera Kiln, która miała wpływ na program „SOL Earn” i spowodowała stratę około 193 000 SOL, czyli mniej niż 1% wartości wszystkich użytkowników.
Według firmy aplikacja pozostaje bezpieczna i można z niej korzystać. SwissBorg natychmiast zmobilizował swoje środki pieniężne w SOL, aby zrekompensować straty, i podobno rozpoczął już współpracę z ekspertami ds. cyberbezpieczeństwa w celu odzyskania skradzionych środków. Zainteresowani użytkownicy powinni wkrótce otrzymać wiadomość e-mail.
