Ledgers CTO Charles Guillemet varnade på måndag för att en storskalig mjukvaruförsörjningskedjeattack pågår som riktar sig mot NPM-paket som används över hela JavaScript-ekosystemet globalt.
Ledger-CTO varnar för storskalig NPM-försörjningskedjeattack; uppmanar till kontroll av adresser
SKRIVEN AV
DELA
‘Potentiellt alla kedjor’: Ledgers CTO varnar efter att NPM-utvecklarkonto hackats
Ledgers Guillemet sade på X att en ansedd utvecklares NPM-konto blev kompromissat och att de drabbade paketen har laddats ner mer än 1 miljard gånger, vilket väcker oro för exponering för utvecklare.
“Det är en storskalig försörjningskedjeattack på gång … hela JavaScript-ekosystemet kan vara i fara,” skrev han på X, och tillade att den skadliga koden “bytar tyst kryptoadresser i farten för att stjäla medel.”
Han rådde personer som inte använder en hårdvaruplånbok att avstå från att göra onchain-transaktioner för tillfället, och uppmanade alla användare att granska transaktionsdetaljer innan de signerar. Han sa att det fortfarande är oklart om angriparen stjäl seedfraser från programvaruplånböcker.
“För användare av Ledger eller andra hårdvaruplånböcker med tydlig signering, är ni inte i fara,” lade Guillemet till och betonade att tydlig signering och manuell verifiering skyddar mot malware som byter adresser.
Separata säkerhetskällor rapporterade också om pågående kompromissat NPM-konto som påverkar allmänt använda paket, där vissa beskriver kampanjen som en av de största i sitt slag hittills. Guillemet sa att konsekvenserna kan spänna över “potentiellt alla kedjor.”
