Ang pinakamalaking supply chain attack sa kasaysayan ay tumarget sa mga crypto user sa pamamagitan ng compromised na mga JavaScript package

Isang bagong cyberattack ang tahimik na tumatarget sa crypto ng mga user habang gumagawa ng transaksyon, kasabay ng isang insidente na inilarawan ng mga security researcher bilang pinakamalaking supply chain attack sa kasaysayan.

Iniulat ng BleepingComputer na ang mga hacker ay nakompromiso ang mga NPM package maintainer account sa pamamagitan ng phishing emails at nag-inject ng malware na nagnanakaw ng crypto.

Ang pag-atake ay tumarget sa mga JavaScript developer gamit ang mga mapanlinlang na email na nagmumukhang nagmula sa “support@npmjs.help,” isang pekeng domain na ginagaya ang lehitimong NPM registry.

Ang mga phishing message ay nagbabala sa mga maintainer na ang kanilang mga account ay malalock sa Setyembre 10, maliban na lang kung i-update nila ang kanilang two-factor authentication credentials sa pamamagitan ng isang mapanlinlang na link.

Matagumpay na nakompromiso ng mga attacker ang 18 malawakang ginagamit na JavaScript packages na may kabuuang lingguhang downloads na lumalagpas sa 2.6 billion.

Kabilang sa mga nakompromisong libraries ang mga pangunahing development tools tulad ng “chalk” (300 million lingguhang downloads), “debug” (358 million), at “ansi-styles” (371 million), na halos naapektuhan ang buong JavaScript ecosystem.

Targeting crypto

Ang malisyosong code ay gumagana bilang isang browser-based interceptor, nagmo-monitor ng network traffic para sa mga crypto transaction sa Ethereum, Bitcoin, Solana, Tron, Litecoin, at Bitcoin Cash networks.

Kapag ang mga user ay nagsimula ng crypto transfers, tahimik na pinapalitan ng malware ang destinasyon ng wallet address ng account na kontrolado ng attacker bago ang transaction signing.

Ipinaliwanag ng Aikido Security researcher na si Charlie Eriksen:

“Ang nagpapadelikado dito ay gumagana ito sa maraming layer: binabago ang content na ipinapakita sa mga website, pinapakialaman ang mga API call, at minamanipula kung ano ang pinaniniwalaan ng mga app ng user na kanilang pinipirmahan.”

Binalaan ng Ledger CTO na si Charles Guillemet ang mga crypto user tungkol sa patuloy na banta, binanggit na maaaring nakompromiso ang JavaScript ecosystem dahil sa napakalaking bilang ng downloads.

Ang mga gumagamit ng hardware wallet ay nananatiling protektado kung kanilang tinitingnan ang detalye ng transaksyon bago pumirma, habang ang mga gumagamit ng software wallet ay mas mataas ang panganib. Pinayuhan ni Guillemet:

“Kung hindi ka gumagamit ng hardware wallet, iwasan muna ang paggawa ng anumang on-chain transaction sa ngayon.”

Binanggit din niya ang kawalang-katiyakan kung kaya bang direktang kunin ng mga attacker ang seed phrases mula sa software wallets.

Sophisticated targeting

Ang pag-atake ay kumakatawan sa isang sopistikadong supply chain targeting kung saan ang mga kriminal ay kinokompromiso ang pinagkakatiwalaang development infrastructure upang maabot ang mga end user.

Sa pamamagitan ng pagpasok sa mga package na dinadownload ng bilyon-bilyon kada linggo, nakuha ng mga attacker ang hindi pa nagagawang access sa mga cryptocurrency application at wallet interface.

Natukoy ng BleepingComputer ang phishing infrastructure na naglalabas ng credentials sa “websocket-api2.publicvm.com,” na nagpapakita ng koordinadong operasyon.

Ang insidenteng ito ay kasunod ng mga katulad na kompromiso sa JavaScript library noong 2025, kabilang ang pag-atake noong Hulyo sa “eslint-config-prettier,” na may 30 million lingguhang downloads, at mga kompromiso noong Marso na nakaapekto sa sampung popular na NPM libraries.

Ang post na Largest supply chain attack in history targets crypto users through compromised JavaScript packages ay unang lumabas sa CryptoSlate.