Ibahagi ang artikulong ito
Nagbabala ang Ledger CTO tungkol sa Pag-atake ng Supply-Chain ng NPM sa 1B+ Downloads
Ayon kay Guillemet, ang malisyosong code — naipasok na sa mga pakete na may mahigit 1 bilyong pag-download — ay idinisenyo upang tahimik na magpalit ng mga address ng Crypto wallet sa mga transaksyon. Nangangahulugan iyon na ang mga hindi pinaghihinalaang gumagamit ay maaaring direktang magpadala ng mga pondo sa umaatake nang hindi namamalayan.
Set 8, 2025, 7:29 p.m. Isinalin ng AI
Gawin kaming preferred sa Google
Ano ang dapat malaman:
- Charles Guillemet, punong opisyal ng Technology sa hardware wallet Maker Ledger, nagbabala sa X noong Lunes na ang isang malakihang pag-atake sa supply chain ay isinasagawa pagkatapos ng kompromiso ng Node Package Manager (NPM) account ng isang kilalang developer.
- Ayon kay Guillemet, ang malisyosong code — naipasok na sa mga pakete na may mahigit 1 bilyong pag-download — ay idinisenyo upang tahimik na magpalit ng mga address ng Crypto wallet sa mga transaksyon. Nangangahulugan iyon na ang mga hindi pinaghihinalaang gumagamit ay maaaring direktang magpadala ng mga pondo sa umaatake nang hindi namamalayan.
Charles Guillemet, punong opisyal ng Technology sa hardware wallet Maker Ledger, nagbabala sa X noong Lunes na ang isang malakihang pag-atake sa supply chain ay isinasagawa pagkatapos ng kompromiso ng Node Package Manager (NPM) account ng isang kilalang developer.
Ayon kay Guillemet, ang malisyosong code — naipasok na sa mga pakete na may mahigit 1 bilyong pag-download — ay idinisenyo upang tahimik na magpalit ng mga address ng Crypto wallet sa mga transaksyon. Nangangahulugan iyon na ang mga hindi pinaghihinalaang gumagamit ay maaaring direktang magpadala ng mga pondo sa umaatake nang hindi namamalayan.
Ipagpatuloy Ang Kwento Sa Baba
Huwag palampasin ang isa pang kuwento.Mag-subscribe sa The Protocol Newsletter ngayon. Tingnan lahat ng newsletter
Hindi pinangalanan ni Guillemet ang developer na sinabi niyang nakompromiso ang account.
Binibigyang-diin ng insidente kung gaano kalalim ang interconnected na open-source na software at kung bakit ang mga pagkukulang ng seguridad sa mga tool ng developer ay maaaring mag-ripple sa Crypto economy halos kaagad.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
— Charles Guillemet (@P3b7_) September 8, 2025
The malicious payload works…
"Ang NPM ay isang tool na karaniwang ginagamit sa pagbuo ng software gamit ang JavaScript, na ginagawang madali ang pagsasama ng mga package para sa mga developer," sabi ni Guillemet sa isang mensahe sa CoinDesk. Kapag nakompromiso ng isang attacker ang account ng developer, maaari silang maglagay ng malisyosong code sa mga package na malawakang ginagamit.
"Ang malisyosong code ay sumusubok na maubos ang mga user sa pamamagitan ng pagpapalit ng mga address na ginagamit sa transaksyon o pangkalahatang on-chain na aktibidad at pagpapalit sa kanila ng address ng hacker," dagdag ni Guillemet.
Binigyang-diin ni Guillemet na kung ang anumang desentralisadong aplikasyon o software wallet sa anumang blockchain ay kasama ang mga JavaScript package na ito, maaari silang makompromiso, at ang mga gumagamit ng Crypto ay maaaring mawalan ng kanilang mga pondo.
"Ang tanging siguradong paraan upang labanan ito ay ang paggamit ng hardware wallet na may secure na screen na sumusuporta sa Clear Signing," sabi ni Guillemet sa CoinDesk. "Ito ay magbibigay-daan sa user na makita kung aling mga address ang ipinapadala ng mga pondo at matiyak na tumutugma ang mga ito sa nilalayong mga address."
"Ang mga wallet ng hardware na walang mga secure na screen at anumang pitaka na T sumusuporta sa Clear signing ay nasa mataas na panganib dahil imposibleng tumpak na ma-verify na tama ang mga detalye ng transaksyon," dagdag niya.
"Ito ay isang pagkakataon upang paalalahanan ang lahat: palaging i-verify ang iyong mga transaksyon, huwag mag-blind sign, gumamit ng hardware wallet na may secure na screen, at Clear Sign lahat," sabi ni Guillemet.
Read More: Tinutugunan ng Ledger CTO ang Kritiko sa Serbisyo sa Pagbawi ng Bagong Wallet
AI Disclaimer: Ang mga bahagi ng artikulong ito ay nabuo sa tulong ng mga tool ng AI at sinuri ng aming editorial team upang matiyak ang katumpakan at pagsunod sa aming mga pamantayan. Para sa karagdagang impormasyon, tingnan Ang buong Patakaran sa AI ng CoinDesk.
More For You
Pabibilisin ba ang Pagtatagpo sa Pagitan ng Tradisyonal at On-Chain Finance sa 2026?
Commissioned bySociete Generale-FORGE
More For You
Nangibabaw ang mga ahente na pinapagana ng AI sa EasyA x Consensus Hong Kong hackathon
Ang mga nanalong proyekto tulad ng FoundrAI ay nagpapakita kung paano pinapayagan ng generative AI ang mga developer na bumuo ng mga produktong handa na sa merkado sa loob lamang ng 48 oras.
What to know:
- Sa EasyA x Consensus Hong Kong 2026 hackathon, halos 1,000 developer ang naglipat ng pokus mula sa back-end infrastructure patungo sa mga user-facing application, na nagbibigay-diin sa tinatawag ng mga organizer na "Year of the Application Layer."
- Binigyang-diin ng mga nanalong proyekto ang automation, seguridad, at pamamahala ng peligro, gamit ang mga tool tulad ng autonomous na "startup in a box" ng FoundrAI, real-time na pagtukoy ng scam ng SentinelFi, at non-custodial, risk-focused trading layer ng PumpStop.
- Ang lumalaking katanyagan ng hackathon sa pangunahing palapag ng palabas at ang pagbibigay-diin sa tuluy-tuloy na UX, kabilang ang mga passkey login, ay sumasalamin sa mas malawak na pagsisikap ng industriya na maakit ang susunod na bugso ng mga retail user sa kabila ng mahinang macro environment.
Top Stories
