L'account NPM (node packet manager) dello sviluppatore 'qix' è stato compromesso, consentendo agli hacker di pubblicare versioni dannose dei suoi pacchetti.
Gli aggressori hanno pubblicato versioni dannose di decine di pacchetti JavaScript estremamente popolari, tra cui utility fondamentali. L'attacco è stato di vasta portata, poiché i pacchetti interessati hanno totalizzato oltre 1 miliardo di download settimanali.
Questo attacco alla catena di fornitura del software prende di mira specificamente l'ecosistema JavaScript/Node.js.
Attacco alla catena di fornitura NPM
Il popolare sviluppatore qix è caduto vittima del phishing. Il codice dannoso iniettato nei pacchetti npm ora dirotta le transazioni crittografiche al momento della firma.
Metodo di attacco:
• Funzioni del portafoglio Hooks (richiesta/invio)
• Scambia gli indirizzi dei destinatari nelle transazioni ETH/SOL
• Sostituisce… pic.twitter.com/Jn9H4HWP8v— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 settembre 2025
Malware Crypto Clipper
Il codice dannoso era un "crypto-clipper" progettato per rubare criptovalute scambiando gli indirizzi dei wallet nelle richieste di rete e dirottando direttamente le transazioni crittografiche. Era inoltre pesantemente offuscato per evitare di essere rilevato.
Il malware che ruba criptovalute ha due vettori di attacco. Quando non viene trovata alcuna estensione per il portafoglio crittografico, il malware intercetta tutto il traffico di rete sostituendo le funzioni native di recupero e richiesta HTTP del browser con elenchi estesi di indirizzi di portafoglio di proprietà dell'aggressore.
Utilizzando un sofisticato scambio di indirizzi, impiega algoritmi per trovare indirizzi sostitutivi che appaiano visivamente simili a quelli legittimi, rendendo la frode quasi impossibile da individuare a occhio nudo, hanno affermato i ricercatori di sicurezza informatica.
Se viene trovato un portafoglio crittografico, il malware intercetta le transazioni prima della firma e, quando gli utenti avviano le transazioni, le modifica nella memoria per reindirizzare i fondi agli indirizzi degli aggressori.
L'attacco ha preso di mira pacchetti come 'chalk', 'strip-ansi', 'color-convert' e 'color-name', che sono componenti fondamentali nascosti negli alberi delle dipendenze di innumerevoli progetti.
L'attacco è stato scoperto accidentalmente quando una pipeline di build ha generato un errore "fetch non definito" mentre il malware tentava di esfiltrare i dati utilizzando la funzione fetch.
"Se utilizzi un portafoglio hardware, presta attenzione a ogni transazione prima di firmare e sarai al sicuro. Se non utilizzi un portafoglio hardware, astieniti per ora dall'effettuare transazioni on-chain", ha consigliato Charles Guillemet, CEO di Ledger.
Spiegazione dell'attuale hack npm
In qualsiasi sito web che utilizzi questa dipendenza hackerata, l'hacker ha la possibilità di iniettare codice dannoso, quindi, ad esempio, quando clicchi sul pulsante "swap" su un sito web, il codice potrebbe sostituire la transazione inviata al tuo portafoglio con una transazione che invia denaro a…
— 0xngmi (@0xngmi) 8 settembre 2025
Vettore di attacco ampio
Sebbene il payload del malware prenda di mira specificamente le criptovalute, il vettore di attacco è molto più ampio. Colpisce qualsiasi ambiente che esegua applicazioni JavaScript/Node.js, come applicazioni web eseguite su browser, applicazioni desktop, applicazioni Node.js lato server e app mobile che utilizzano framework JavaScript.
Quindi una normale applicazione web aziendale potrebbe inconsapevolmente includere questi pacchetti dannosi, ma il malware si attiverebbe solo quando gli utenti interagiscono con la criptovaluta su quel sito.
Uniswap e Blockstream sono stati tra i primi a rassicurare gli utenti che i loro sistemi non erano a rischio.
In merito alle segnalazioni di attacco alla supply chain dell'NPM:
Le app Uniswap non sono a rischio
Il nostro team ha confermato di non utilizzare versioni vulnerabili dei pacchetti interessati
Come sempre, siate vigili
— Uniswap Labs (@Uniswap) 8 settembre 2025
Il post Malware che ruba criptovalute si infiltra nelle librerie JavaScript principali utilizzate da milioni di persone è apparso per la prima volta su CryptoPotato .