Crypto Prices
···

Krypto-käyttäjiä varoitetaan: NPM-hyökkäys uhkaa keskeisiä JavaScript-kirjastoja

8 syyskuun, 2025

Toimitusketjuhyökkäys JavaScript-kirjastoissa

Hakkereiden on onnistunut vaarantamaan laajasti käytettyjä JavaScript-ohjelmistokirjastoja, ja tätä on kutsuttu historian suurimmaksi toimitusketjuhyökkäykseksi. Injektoitu haittaohjelma on ilmeisesti suunniteltu varastamaan kryptovaluuttaa vaihtamalla lompakkosoitteita ja keskeyttämällä tapahtumia.

Hyökkäyksen taustat

Useiden raporttien mukaan maanantaina hakkerit murtautuivat tunnetun kehittäjän Node Package Manager (NPM) -tilille ja lisäsivät salaa haittaohjelmaa suosittuihin JavaScript-kirjastoihin, joita miljoonat sovellukset käyttävät. Haitallinen koodi vaihtaa tai kaappaa kryptovaluuttalompakkosoitteita, mikä asettaa miljardien latausten arvoiset projektit vaaraan.

”Käynnissä on laajamittainen toimitusketjuhyökkäys: arvostetun kehittäjän NPM-tili on vaarantunut,” varoitti Ledgerin teknologiajohtaja Charles Guillemet maanantaina. ”Vaikuttavia paketteja on jo ladattu yli 1 miljardi kertaa, mikä tarkoittaa, että koko JavaScript-ekosysteemi saattaa olla vaarassa.”

Vaikutukset ja haavoittuvuus

Hyökkäys kohdistui paketteihin, kuten [paketti1], [paketti2] ja [paketti3] — pieniin apuohjelmiin, jotka ovat syvällä lukemattomien projektien riippuvuuspuiden sisällä. Yhteensä nämä kirjastot ladataan yli miljardi kertaa viikossa, mikä tarkoittaa, että jopa kehittäjät, jotka eivät ole koskaan asentaneet niitä suoraan, voivat olla alttiina.

NPM on kuin sovelluskauppa kehittäjille — keskeinen kirjasto, jossa he jakavat ja lataavat pieniä koodipaketteja JavaScript-projektien rakentamiseksi. Hyökkääjät näyttävät istuttaneen kryptovaluutta-leikkurin, eräänlaisen haittaohjelman, joka hiljaa vaihtaa lompakkosoitteita tapahtumien aikana ohjatakseen varoja.

Turvallisuusvaroitukset

Turvallisuustutkijat varoittivat, että ohjelmistolompakoita käyttävät käyttäjät voivat olla erityisen haavoittuvia, kun taas jokaisen tapahtuman vahvistavat laitteistolompakot ovat suojattuja. On epäselvää, yritetäänkö haittaohjelman avulla myös varastaa siemenlauseita suoraan.

Tämä on kehittyvä tarina, ja lisätietoja tullaan lisäämään saatavilla olevan mukaan.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Cardano-perustaja kyseenalaistaa Bitcoinin post-kvanttisuojauksen – U.Today

Bitcoinin Post-Kvanttitutkimus Blockstreamin toimitusjohtaja Adam Back on väittänyt, että Bitcoinin post-kvanttitutkimus etenee nopeasti. Tämän jälkeen Cardano-perustaja Charles Hoskinson kyseenalaisti verkon kyvyn suojata haavoittuvia ”perintökolikoita” ilman kiistanalaista hard forkkia. Keskustelu ja Kritiikki Keskustelu

Stables ja Mansa yhdistävät Aasian puuttuvat stablecoin-raiteet

Yhteistyö Stablesin ja Mansa:n välillä Stables tekee yhteistyötä Mansa:n kanssa lisätäkseen kysynnän mukaan tulevaa likviditeettiä ja sääntöjenmukaisuutta Aasian fiat-USDT-käytävillä. Tämä yhteistyö kohdistuu alueen 60 %:n osaan globaalista stablecoin-virrasta. Stablecoinit ovat hiljaisesti muuttuneet

Pakistan poistaa kryptopankkikiellon kahdeksan vuoden jälkeen

Pakistanin digitaalisen valuutan sääntelyn muutokset Pakistan on virallisesti päättänyt pitkään jatkuneesta digitaalisen valuutan sektorin jäädytyksestä sallimalla pankkien helpottaa lisensoitujen virtuaalisten omaisuuserien tarjoajien toimintaa. Pakistanin keskuspankki (SBP) julkaisi 14. huhtikuuta kierroksen, joka valtuuttaa

Zerion kärsii hyökkäyksestä, jossa Pohjois-Korean hakkerit hyödyntävät tekoälypohjaista sosiaalista manipulointia

Pohjois-Korean hakkerit ja tekoälyn hyödyntäminen Pohjois-Korean hakkerit ohittavat yhä enemmän huipputeknologian turvallisuusesteitä hyödyntämällä tekoälyä työntekijöiden manipuloimiseksi. Zerion, suosittu kryptolompakkopalveluntarjoaja, vahvisti keskiviikkona, että pitkään jatkunut sosiaalisen manipuloinnin kampanja, joka liittyy DPRK:hon, onnistui murtautumaan