NPM Crypto Attack Hits 1B+ ดาวน์โหลด แต่ขโมยเพียง $ 505: Ledger CTO ยืนยัน

ประเด็นสำคัญ:

• แฮกเกอร์บุกรุกบัญชี NPM ของนักพัฒนาชั้นนำโดยกำหนดเป้าหมายแพ็คเกจที่มีมากกว่า 1 พันล้านดาวน์โหลด–
• รหัสที่ถูกฉีดพยายามที่จะจี้ธุรกรรม crypto ข้าม Ethereum, Solana, Bitcoin และ blockchains อื่น ๆ
• ข้อผิดพลาดในการเข้ารหัสทำให้เกิดการล่มในช่วงต้นในการสร้างท่อโดย จำกัด การสูญเสีย ประมาณ $ 505ตามข้อมูลของ Arkham

การโจมตีสายซัพพลายเชนที่สำคัญในระบบนิเวศแพคเกจโหนด (NPM) ระบบนิเวศสั่นคลอนอุตสาหกรรม crypto ในสัปดาห์นี้ แม้จะมีการกำหนดเป้าหมายไปที่ห้องสมุด JavaScript ที่ใช้กันอย่างแพร่หลาย แต่ในที่สุดการหาประโยชน์ก็ล้มเหลวด้วย CTO Charles Guillemet ของ Ledger การยืนยัน “ แทบจะไม่มีเหยื่อเลย”

อ่านเพิ่มเติม: MEXC เตือนผู้ใช้ SMS ฟิชชิงการหลอกลวงโดยอ้างว่ามาจากแพลตฟอร์ม

ภัยคุกคามที่มีการโหลดหลายพันล้านครั้งซึ่งเกือบจะลื่นไหลผ่าน

เหตุการณ์เริ่มขึ้นเมื่อผู้โจมตีเปิดตัว แคมเปญฟิชชิ่ง ใช้โดเมนสนับสนุน NPM ปลอม– โดยการหลอกให้นักพัฒนาเข้าสู่ข้อมูลรับรองการยอมจำนนแฮ็กเกอร์ได้รับการควบคุมบัญชี NPM ของ“ Qix” ผู้สนับสนุนโอเพนซอร์ซยอดนิยม

การใช้การเข้าถึงนี้พวกเขามีห้องสมุดที่อัปเดตอย่างร้ายกาจเช่น Chalk (ดาวน์โหลด 300 เมตรทุกสัปดาห์), Strip-Ansi (261m) และ Utility Color-Convert (193m) ที่ฝังลึกลงไปในต้นไม้พึ่งพาอาศัยกันในเว็บและ Crypto หลายพันโครงการ

น้ำหนักบรรทุกที่ฉีดเข้ามาเพื่อสร้าง crypto-clipper ซึ่งจะแทนที่ที่อยู่จริงของกระเป๋าเงินกับที่เป็นเจ้าของของผู้โจมตีทันที มันใช้อัลกอริทึมระยะทาง Levenshtein เพื่อทดแทนที่อยู่ด้วยรูปลักษณ์ที่คล้ายกันอย่างสมบูรณ์แบบดังนั้นจึงเป็นไปไม่ได้ที่ผู้ใช้จะสังเกตเห็นการทำธุรกรรมที่ฉ้อโกง

การโจมตีทำงานอย่างไร

การออกแบบการหาประโยชน์สองง่าม

มัลแวร์ใช้ วิธีคู่ เพื่อเพิ่มโอกาสในการขโมยเงิน:

1. การแลกเปลี่ยนที่อยู่แฝง
   • สกัดกั้นการร้องขอเว็บผ่านการดึงข้อมูลและ XMLHTTPREQUEST
   • ที่อยู่เป้าหมายเกี่ยวกับ Ethereum, Bitcoin, Solana, Tron, Litecoin และ Bitcoin Cash
   • แทนที่ที่อยู่ผู้รับด้วยที่อยู่ที่ควบคุมด้วยสายตาที่คล้ายกัน
2. การจี้ธุรกรรมที่ใช้งานอยู่
   • ตรวจพบส่วนขยายกระเป๋าเงินเช่น Metamask
   • ทำธุรกรรมที่สกัดกั้นก่อนลงนามสลับที่อยู่ที่ตั้งใจไว้กับผู้โจมตี
   • อาศัยผู้ใช้ไม่สามารถตรวจสอบหน้าจอยืนยันกระเป๋าเงินได้อีกครั้ง

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่ากลยุทธ์นี้อาจมีหลายล้านคนที่ไม่ได้รับ บั๊กวิกฤต– รหัสที่ฉีด CI/CD ท่อส่งเปิดเผยการโจมตีเร็วกว่าที่คาดไว้มาก

ความเสียหายทางการเงินน้อยที่สุดคำเตือนอุตสาหกรรมที่สำคัญ

บริษัท Analytics Blockchain อาร์กแฮม รายงานว่าผู้โจมตีทำตาข่าย $ 505 มูลค่า crypto ข้ามที่อยู่สองสามตัวที่เชื่อมโยงกับการหาประโยชน์ Charles Guillemet ของ Ledger เน้นว่าผลลัพธ์คือ“ โชคดี” เนื่องจากแพ็คเกจที่ถูกบุกรุก การดาวน์โหลดทั้งหมดมากกว่าพันล้านรายการ–

แพลตฟอร์ม Web3 ที่รู้จักกันดีรวมถึง Uniswap, Aave, Metamask และ Lidoยืนยันว่าพวกเขาไม่ได้รับผลกระทบ ถึงกระนั้นขนาดของการละเมิดความพยายามได้ต่ออายุมุ่งเน้นไปที่ช่องโหว่ของซัพพลายโอเพ่นซอร์ส

CTO ของ Open Network (TON), Anatoly Makosov อธิบายว่าจำนวนแพคเกจที่ถูกบุกรุกเป็นเพียง 18 และรุ่นเก่าและรุ่นใหม่จะไม่ได้รับผลกระทบ เขาสนับสนุนให้นักพัฒนาที่ใช้ไลบรารีการอัพเดทอัตโนมัติเพื่อการพึ่งพาการตรวจสอบโดยเร็วที่สุดเท่าที่จะเป็นไปได้และเวอร์ชันที่ปลอดภัย

โจมตีแพ็คเกจ NPM ยอดนิยม – รายละเอียดทางเทคนิค

ไม่กี่ชั่วโมงที่ผ่านมาแฮกเกอร์ได้เข้าถึงบัญชี NPM บางบัญชีและเผยแพร่ห้องสมุดยอดนิยมที่ติดเชื้อ

ผลิตภัณฑ์เว็บจำนวนมากใช้แพ็คเกจเหล่านี้

แม้ว่าผลิตภัณฑ์ TON จะไม่เสี่ยง แต่นักพัฒนา …

– Anatoly Makosov (@anatoly_makosov) 8 กันยายน 2568

อ่านเพิ่มเติม: PI Network Flags Scam Wallet ท่ามกลางความเสี่ยงโทเค็น $ 346M เนื่องจากผู้ใช้ 60 ล้านคนรอการปลดล็อค

กระเป๋าเงินฮาร์ดแวร์กับกระเป๋าเงินซอฟต์แวร์: บทเรียนเสริม

อุบัติเหตุดังกล่าวเน้นถึงอันตรายให้กับผู้ใช้ที่ใช้กระเป๋าเงินหรือการแลกเปลี่ยนซอฟต์แวร์เท่านั้น ตามที่ Guillemet กล่าวไว้:

“ หากกองทุนของคุณนั่งอยู่ในกระเป๋าเงินซอฟต์แวร์หรือในการแลกเปลี่ยนคุณจะต้องใช้รหัสหนึ่งจากการสูญเสียทุกอย่าง”

บัญชีแยกประเภทและผู้ให้บริการกระเป๋าเงินฮาร์ดแวร์อื่น ๆ เน้นคุณสมบัติเช่น ล้างการลงนาม และ การตรวจสอบธุรกรรมซึ่งช่วยให้ผู้ใช้สามารถตรวจสอบที่อยู่ผู้รับที่แท้จริงได้อย่างอิสระก่อนที่จะเสร็จสิ้นการทำธุรกรรมใด ๆ

ซึ่งแตกต่างจากกระเป๋าเงินร้อนอุปกรณ์ฮาร์ดแวร์แยกกุญแจส่วนตัวทำให้ทนทานต่อการประนีประนอมกับซัพพลายเชนประเภทนี้ บัญชีแยกประเภทยืนยันว่าผลิตภัณฑ์ของตัวเองเป็น ไม่เคยเสี่ยงในระหว่างการโจมตี