Ledger CTO cho biết: Sự cố xâm nhập chuỗi cung ứng NPM có thể khiến các quỹ crypto bị lộ trước phần mềm độc hại hoán đổi địa chỉ

• Hoán đổi địa chỉ độc hại trong ví web nhắm vào các giao dịch crypto.

• Các gói bị xâm phạm bao gồm các module NPM được sử dụng rộng rãi như “color-name” và “color-string.”

• Các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, làm tăng mức độ phơi nhiễm cross-chain.

Khai thác chuỗi cung ứng NPM: NGỪNG ký giao dịch ngay bây giờ—xác minh các gói và bảo mật ví. Tìm hiểu các bước bảo vệ ngay lập tức.

Khai thác chuỗi cung ứng NPM là gì?

Khai thác chuỗi cung ứng NPM là việc xâm phạm các tài khoản nhà phát triển uy tín để chèn mã độc vào các gói JavaScript. Payload này có thể âm thầm thay đổi địa chỉ crypto trong các ví web và dApp, đặt tài sản trên nhiều chuỗi vào tình trạng rủi ro.

Các gói JavaScript đã bị xâm phạm như thế nào?

Các nhà nghiên cứu bảo mật và chuyên gia ngành công nghiệp báo cáo rằng một tài khoản nhà phát triển uy tín trên NPM đã bị xâm nhập, cho phép kẻ tấn công phát hành các bản cập nhật bị nhiễm mã độc. Mã độc này được thiết kế để chạy trong môi trường trình duyệt được sử dụng bởi các trang web crypto và có thể thay đổi địa chỉ đích tại thời điểm giao dịch.

Những gói và thành phần nào bị ảnh hưởng?

Các công ty bảo mật blockchain đã xác định khoảng hai chục gói NPM phổ biến bị ảnh hưởng, bao gồm các module tiện ích nhỏ như “color-name” và “color-string.” Vì NPM là trình quản lý gói trung tâm cho JavaScript, nhiều trang web và dự án front-end kéo các phụ thuộc này một cách gián tiếp.

Tóm tắt rủi ro được báo cáo theo gói Gói Số lượt tải xuống được báo cáo Mức độ rủi ro

color-name	Hàng trăm triệu	Cao
color-string	Hàng trăm triệu	Cao
Các module tiện ích khác (tổng hợp)	Hơn 1 tỷ cộng dồn	Nguy cấp

Người dùng crypto có thể bảo vệ tài sản như thế nào ngay bây giờ?

Các bước ngay lập tức: ngừng ký giao dịch trên ví web, ngắt kết nối ví trình duyệt khỏi dApp và tránh tương tác với các trang web dựa vào JavaScript chưa được xác minh. Xác thực tính toàn vẹn của các gói trong môi trường phát triển và áp dụng các quy tắc Content Security Policy (CSP) nghiêm ngặt trên các trang bạn kiểm soát.

Nhà phát triển nên thực hiện những biện pháp phòng ngừa nào?

Nhà phát triển cần cố định phiên bản phụ thuộc, xác minh chữ ký gói nếu có, sử dụng công cụ quét chuỗi cung ứng và kiểm tra các bản cập nhật gói gần đây. Quay lại các phiên bản đã biết an toàn và xây dựng lại từ lockfile có thể giảm thiểu rủi ro. Sử dụng build có thể tái tạo và xác minh độc lập cho các thư viện front-end quan trọng.

Câu hỏi thường gặp

Mức độ đe dọa đối với người dùng crypto hàng ngày là như thế nào?

Mối đe dọa là ngay lập tức đối với người dùng tương tác với ví web hoặc dApp tải JavaScript từ các gói công khai. Nếu một trang web phụ thuộc vào các module bị nhiễm, mã hoán đổi địa chỉ có thể thực thi trong trình duyệt khi thực hiện giao dịch.

Ai đã phát hiện ra vụ xâm phạm và họ nói gì?

CTO của Ledger, Charles Guillemet, đã công khai cảnh báo về vấn đề này, nhấn mạnh quy mô và cơ chế hoán đổi địa chỉ. Các công ty bảo mật blockchain cũng đã báo cáo các module bị ảnh hưởng. Những quan sát này đến từ các bài đăng công khai và khuyến nghị bảo mật được các chuyên gia ngành công bố.

Những điểm chính cần lưu ý

• Ngừng ký giao dịch: Tránh ký giao dịch trên ví web cho đến khi các gói được xác minh.
• Kiểm tra phụ thuộc: Nhà phát triển cần cố định, ký và quét các gói NPM sử dụng trong mã front-end.
• Sử dụng biện pháp phòng thủ: Ngắt kết nối ví, xóa phiên đăng nhập và áp dụng CSP cùng công cụ quét chuỗi cung ứng.

Kết luận

Khai thác chuỗi cung ứng NPM cho thấy các gói tiện ích nhỏ cũng có thể gây rủi ro hệ thống cho người dùng crypto bằng cách cho phép thay đổi địa chỉ một cách âm thầm. Duy trì tư thế phòng thủ: ngừng ký giao dịch, kiểm tra phụ thuộc và tuân thủ các khuyến nghị đã được xác minh. COINOTAG sẽ cập nhật báo cáo này khi có thêm chi tiết kỹ thuật và biện pháp khắc phục được xác nhận (đăng ngày 2025-09-08).