Nagbabala ang CTO ng Ledger sa mga may hawak ng wallet matapos ang pag-hack ng NPM account

• Isang malaking pag-atake ang tumama sa mga JavaScript tools na ginagamit ng milyon-milyong tao sa mga crypto platform.
• Pinayuhan ng Ledger CTO ang mga user na suriin ang bawat transaksyon at iwasan ang blind signing.
• Sinabihan ang mga developer na siguraduhin ang mga package at itigil muna ang auto-updates hanggang matapos ang mga pag-aayos.

Isang malawakang supply chain attack sa JavaScript ecosystem ang nagpagulo sa crypto industry, na naglantad ng kahinaan ng mga dependency sa buong imprastraktura nito. Noong Setyembre 8, 2025, kinumpirma ng Chief Technology Officer ng Ledger na si Charles Guillemet na na-hack ng mga umaatake ang NPM (Node Package Manager) account ng isang kilalang developer. Ang compromised na account ay nagbigay-daan sa mga hacker na mag-inject ng “crypto-clipper” malware sa mga malawakang ginagamit na JavaScript packages. 

Ang mga infected na library na ito, kabilang ang chalk, debug, strip-ansi, at color-convert, ay may kabuuang higit sa isang bilyong downloads, na nagpapakita ng napakalaking lawak ng exposure. Ayon kay Guillemet, tahimik na pinapalitan ng malicious code ang mga crypto wallet address tuwing may transaksyon, kaya’t napupunta ang pondo sa mga account na kontrolado ng umaatake. Nangangahulugan ito na ang mga user na walang kamalay-malay ay nakakakumpleto ng mga transaksyon na akala nila ay lehitimo ngunit hindi nila alam na nawawala na pala ang kanilang mga asset.

Ang mga apektadong tools ay hindi basta-basta. Ang mga library tulad ng Chalk at Debug ay sumusuporta sa maraming decentralized applications at crypto platforms at, dahil dito, ay malapit na kaugnay sa araw-araw na operasyon ng ecosystem. Ang paglabag sa mga library na ito ay nagpapahiwatig na ang isang breach ay maaaring mabilis na makaapekto sa milyun-milyong wallet at application.

Mga Agarang Babala mula sa Ledger CTO

Hindi pinangalanan ni Guillemet ang developer na na-kompromiso ang account. Gayunpaman, nilinaw niya na malawak ang banta. “Ito ay isang malakihang supply chain attack. Maaaring maapektuhan ang buong JavaScript ecosystem,” isinulat niya sa kanyang opisyal na babala.

Binigyang-diin niya ang kahalagahan ng paggamit ng hardware wallet na may secure na screen na sumusuporta sa Clear Signing. “Ang tanging siguradong paraan para labanan ito ay ang paggamit ng hardware wallet na may secure na screen na sumusuporta sa clear signing,” aniya. “Dito makikita ng user kung saang address talaga ipinapadala ang pondo at masisiguro nilang tugma ito sa intended address.”

Dagdag pa niya, “Ang mga hardware wallet na walang secure na screen at anumang wallet na hindi sumusuporta sa clear signing ay mataas ang panganib, dahil imposibleng tiyakin nang tama ang detalye ng transaksyon.”

Sa huli, nagbigay siya ng malawakang paalala: “Ito ay pagkakataon para paalalahanan ang lahat: laging i-verify ang inyong mga transaksyon, huwag kailanman mag-blind sign, gumamit ng hardware wallet na may secure na screen, at i-Clear Sign ang lahat.”

Reaksyon ng mga Developer at Mas Malawak na Implikasyon

Matapos ang paglalantad, hinikayat ang mga developer na i-pin ang ligtas na bersyon ng mga dependency, siguraduhin ang mga lockfile, at itigil muna ang auto-updating ng mga package hanggang sa susunod na abiso. Ang mga hakbang na ito ay layong pigilan ang pinsala habang isinasagawa ang audit at paglilinis sa buong ecosystem. Pinayuhan din ng mga kilalang personalidad sa crypto developer community ang mga user na iwasan munang makipag-ugnayan sa mga crypto website hanggang maresolba ang mga kahinaan.

Kaugnay: Ripple Developers Depensahan ang XRP Ledger sa Gitna ng Kaiko Assessment

Ipinakita ng insidenteng ito na kahit ang mga critical wallet provider tulad ng Ledger ay umaasa sa mga software layer na wala sa kanilang agarang kontrol. Kapag ang mga layer na ito ay na-kompromiso, maaaring maging mapaminsala ang epekto. Milyun-milyong user at digital na halaga na umaabot sa bilyon-bilyong dolyar ang maaaring malagay sa panganib sa loob lamang ng ilang oras.

Update sa NPM Attack

Ayon sa pinakabagong update mula kay Guillemet, nabigo ang pag-atake at halos walang naging biktima. Nagsimula ito sa isang phishing email mula sa pekeng npm support domain na nagnakaw ng credentials, na nagbigay sa mga umaatake ng access para mag-publish ng malicious package updates. Ang injected na code ay tumarget sa web crypto activity, na nag-hook sa Ethereum, Solana, at iba pang chains upang ma-hijack ang mga transaksyon sa pamamagitan ng pagpapalit ng wallet address direkta sa mga network response. Gayunpaman, ang mga pagkakamali ng mga umaatake ay nagdulot ng crash sa CI/CD pipelines, na naging dahilan ng maagang pagkakatuklas at paglimita ng epekto.

Binigyang-diin ni Guillemet na kung ang iyong pondo ay nasa software wallet o nasa exchange, isang code execution na lang ang pagitan sa pagkawala ng lahat. Nanatiling malakas na malware delivery vector ang supply chain compromises, at tumataas ang targeted attacks. Itinampok din niya na ang hardware wallets ay idinisenyo upang labanan ang mga ganitong banta. Ang mga feature tulad ng Clear Signing ay nagbibigay-daan sa iyong kumpirmahin ang eksaktong nangyayari, at ang Transaction Checks ay nagbababala ng kahina-hinalang aktibidad bago pa mahuli ang lahat.

Ang post na Ledger CTO Warns Wallet Holders After NPM Account Hack ay unang lumabas sa Cryptotale.