Crypto Prices
···

Krypto-käyttäjiä varoitetaan: NPM-hyökkäys uhkaa keskeisiä JavaScript-kirjastoja

8 syyskuun, 2025

Toimitusketjuhyökkäys JavaScript-kirjastoissa

Hakkereiden on onnistunut vaarantamaan laajasti käytettyjä JavaScript-ohjelmistokirjastoja, ja tätä on kutsuttu historian suurimmaksi toimitusketjuhyökkäykseksi. Injektoitu haittaohjelma on ilmeisesti suunniteltu varastamaan kryptovaluuttaa vaihtamalla lompakkosoitteita ja keskeyttämällä tapahtumia.

Hyökkäyksen taustat

Useiden raporttien mukaan maanantaina hakkerit murtautuivat tunnetun kehittäjän Node Package Manager (NPM) -tilille ja lisäsivät salaa haittaohjelmaa suosittuihin JavaScript-kirjastoihin, joita miljoonat sovellukset käyttävät. Haitallinen koodi vaihtaa tai kaappaa kryptovaluuttalompakkosoitteita, mikä asettaa miljardien latausten arvoiset projektit vaaraan.

”Käynnissä on laajamittainen toimitusketjuhyökkäys: arvostetun kehittäjän NPM-tili on vaarantunut,” varoitti Ledgerin teknologiajohtaja Charles Guillemet maanantaina. ”Vaikuttavia paketteja on jo ladattu yli 1 miljardi kertaa, mikä tarkoittaa, että koko JavaScript-ekosysteemi saattaa olla vaarassa.”

Vaikutukset ja haavoittuvuus

Hyökkäys kohdistui paketteihin, kuten [paketti1], [paketti2] ja [paketti3] — pieniin apuohjelmiin, jotka ovat syvällä lukemattomien projektien riippuvuuspuiden sisällä. Yhteensä nämä kirjastot ladataan yli miljardi kertaa viikossa, mikä tarkoittaa, että jopa kehittäjät, jotka eivät ole koskaan asentaneet niitä suoraan, voivat olla alttiina.

NPM on kuin sovelluskauppa kehittäjille — keskeinen kirjasto, jossa he jakavat ja lataavat pieniä koodipaketteja JavaScript-projektien rakentamiseksi. Hyökkääjät näyttävät istuttaneen kryptovaluutta-leikkurin, eräänlaisen haittaohjelman, joka hiljaa vaihtaa lompakkosoitteita tapahtumien aikana ohjatakseen varoja.

Turvallisuusvaroitukset

Turvallisuustutkijat varoittivat, että ohjelmistolompakoita käyttävät käyttäjät voivat olla erityisen haavoittuvia, kun taas jokaisen tapahtuman vahvistavat laitteistolompakot ovat suojattuja. On epäselvää, yritetäänkö haittaohjelman avulla myös varastaa siemenlauseita suoraan.

Tämä on kehittyvä tarina, ja lisätietoja tullaan lisäämään saatavilla olevan mukaan.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Quid Miner – Pilviminauksen Alusta, Joka Muuttaa Kaivostoimintamallit

Eläkerahastot, markkinashokit ja kryptovaluuttavirrat: Miksi Quid Miner tuntuu ”digitaaliselta eläkeläiseltä”? Ilmoitus: Tämä artikkeli ei ole sijoitusneuvontaa. Sen sisältö ja materiaalit on tarkoitettu vain koulutustarkoituksiin. Sisällysluettelo Kryptoteollisuus ei ole harvoin näyttänyt niin paradoksaaliselta.

Binance listaa Ethena USDe:n uusilla spot-kaupankäyntipareilla

Ethena USDe (USDe) Listaus Binance-alustalla Binance-alustalle listataan Ethena USDe (USDe), ja kaupankäynti avataan USDe/ ja USDe/USDT spot-kaupankäyntipareilla 9. syyskuuta 2025 klo 12:00 (UTC). Käyttäjät voivat aloittaa USDe:n tallettamisen kaupankäyntiä varten, ja listausmaksu

Hongkong tiukentaa otteitaan sähkön varastamisesta kryptovaluuttakaivostoiminnassa – epäillyt voivat saada jopa 5 vuoden vankeusrangaistuksen

Hongkongin lainvalvontaviranomaisten toimet Hongkongin lainvalvontaviranomaiset ovat äskettäin pidättäneet kaksi paikallista miestä, jotka epäillään asentaneen kaivostekniikkaa vammaisten hoitokotiin Cheung Sha Wanissa kryptovaluutan kaivamista varten. He liittivät laitteiston hoitokodin verkkoon ja sähköjärjestelmään varastaakseen sähköä,

Kalifornialainen mies tuomittiin roolistaan globaalissa digitaalisen omaisuuden sijoituspetoksessa, joka johti yli 36,9 miljoonan dollarin varastamiseen uhreilta

Kalifornialaisen Miehen Tuomio Rahanpesusta Kalifornialainen mies tuomittiin tänään 51 kuukaudeksi liittovaltion vankilaan osallisuudestaan yli 36,9 miljoonan dollarin rahanpesuun kansainvälisessä digitaalisen omaisuuden sijoituspetoksessa, joka toteutettiin petoskeskuksista Kambodžassa. Tuomioistuin määräsi myös, että hänen on