Crypto Prices
···

Krypto-käyttäjiä varoitetaan: NPM-hyökkäys uhkaa keskeisiä JavaScript-kirjastoja

8 syyskuun, 2025

Toimitusketjuhyökkäys JavaScript-kirjastoissa

Hakkereiden on onnistunut vaarantamaan laajasti käytettyjä JavaScript-ohjelmistokirjastoja, ja tätä on kutsuttu historian suurimmaksi toimitusketjuhyökkäykseksi. Injektoitu haittaohjelma on ilmeisesti suunniteltu varastamaan kryptovaluuttaa vaihtamalla lompakkosoitteita ja keskeyttämällä tapahtumia.

Hyökkäyksen taustat

Useiden raporttien mukaan maanantaina hakkerit murtautuivat tunnetun kehittäjän Node Package Manager (NPM) -tilille ja lisäsivät salaa haittaohjelmaa suosittuihin JavaScript-kirjastoihin, joita miljoonat sovellukset käyttävät. Haitallinen koodi vaihtaa tai kaappaa kryptovaluuttalompakkosoitteita, mikä asettaa miljardien latausten arvoiset projektit vaaraan.

”Käynnissä on laajamittainen toimitusketjuhyökkäys: arvostetun kehittäjän NPM-tili on vaarantunut,” varoitti Ledgerin teknologiajohtaja Charles Guillemet maanantaina. ”Vaikuttavia paketteja on jo ladattu yli 1 miljardi kertaa, mikä tarkoittaa, että koko JavaScript-ekosysteemi saattaa olla vaarassa.”

Vaikutukset ja haavoittuvuus

Hyökkäys kohdistui paketteihin, kuten [paketti1], [paketti2] ja [paketti3] — pieniin apuohjelmiin, jotka ovat syvällä lukemattomien projektien riippuvuuspuiden sisällä. Yhteensä nämä kirjastot ladataan yli miljardi kertaa viikossa, mikä tarkoittaa, että jopa kehittäjät, jotka eivät ole koskaan asentaneet niitä suoraan, voivat olla alttiina.

NPM on kuin sovelluskauppa kehittäjille — keskeinen kirjasto, jossa he jakavat ja lataavat pieniä koodipaketteja JavaScript-projektien rakentamiseksi. Hyökkääjät näyttävät istuttaneen kryptovaluutta-leikkurin, eräänlaisen haittaohjelman, joka hiljaa vaihtaa lompakkosoitteita tapahtumien aikana ohjatakseen varoja.

Turvallisuusvaroitukset

Turvallisuustutkijat varoittivat, että ohjelmistolompakoita käyttävät käyttäjät voivat olla erityisen haavoittuvia, kun taas jokaisen tapahtuman vahvistavat laitteistolompakot ovat suojattuja. On epäselvää, yritetäänkö haittaohjelman avulla myös varastaa siemenlauseita suoraan.

Tämä on kehittyvä tarina, ja lisätietoja tullaan lisäämään saatavilla olevan mukaan.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Hongkong tiukentaa otteitaan sähkön varastamisesta kryptovaluuttakaivostoiminnassa – epäillyt voivat saada jopa 5 vuoden vankeusrangaistuksen

Hongkongin lainvalvontaviranomaisten toimet Hongkongin lainvalvontaviranomaiset ovat äskettäin pidättäneet kaksi paikallista miestä, jotka epäillään asentaneen kaivostekniikkaa vammaisten hoitokotiin Cheung Sha Wanissa kryptovaluutan kaivamista varten. He liittivät laitteiston hoitokodin verkkoon ja sähköjärjestelmään varastaakseen sähköä,

Kalifornialainen mies tuomittiin roolistaan globaalissa digitaalisen omaisuuden sijoituspetoksessa, joka johti yli 36,9 miljoonan dollarin varastamiseen uhreilta

Kalifornialaisen Miehen Tuomio Rahanpesusta Kalifornialainen mies tuomittiin tänään 51 kuukaudeksi liittovaltion vankilaan osallisuudestaan yli 36,9 miljoonan dollarin rahanpesuun kansainvälisessä digitaalisen omaisuuden sijoituspetoksessa, joka toteutettiin petoskeskuksista Kambodžassa. Tuomioistuin määräsi myös, että hänen on

Suurin NPM-hyökkäys kryptohistoriassa varasti alle 50 dollaria: SEAL

Kryptovaluutan varastaminen toimitusketjun hyökkäyksessä Hakkerit ovat onnistuneet varastamaan vain 50 dollarin arvosta kryptovaluuttaa valtavasta toimitusketjun hyökkäyksestä, joka vaikutti JavaScript-ohjelmistokirjastoihin, kertovat alan turvallisuustutkijat. Kryptotiedustelualusta Security Alliance jakoi löydökset maanantaina sen jälkeen, kun hakkerit

Aethirin hinta nousi 43 % DePIN-tokenien nousun myötä

Aethirin Hinnan Nousu Aethirin hinta nousi, kun kryptovaluuttamarkkinat rekisteröivät nousua, ja tokenin voitot ylittivät hajautettujen fyysisten infrastruktuuriverkostojen ekosysteemin. Aethir (ATH) token kaupattiin päivänsisäiseen huippuunsa lähellä 0,045 dollaria, kun hinta nousi yli 43