Il CTO di Ledger Avverte di un Attacco alla Catena di Fornitura di NPM che Colpisce Oltre 1 Miliardo di Download

Charles Guillemet, direttore tecnico presso il produttore di portafogli hardware Ledger, avvertito su X lunedì che è in corso un attacco su larga scala alla catena di approvvigionamento a seguito della compromissione dell'account Node Package Manager (NPM) di uno sviluppatore di rilievo.

Secondo Guillemet, il codice maligno — già inserito in pacchetti con oltre 1 miliardo di download — è progettato per sostituire silenziosamente gli indirizzi dei portafogli crypto nelle transazioni. Ciò significa che utenti ignari potrebbero inviare fondi direttamente all'attaccante senza rendersene conto.

Guillemet non ha nominato lo sviluppatore il cui account, ha affermato, è stato compromesso.

L’incidente sottolinea quanto sia profondamente interconnesso il software open-source e perché le falle nella sicurezza degli strumenti per sviluppatori possano riverberarsi nell’economia crypto quasi istantaneamente.

“NPM è uno strumento comunemente utilizzato nello sviluppo software con JavaScript, che facilita l’integrazione dei pacchetti per gli sviluppatori,” ha dichiarato Guillemet in un messaggio a CoinDesk. Quando un aggressore compromette l’account di uno sviluppatore, può inserire codice malevolo in pacchetti ampiamente utilizzati.

«Il codice dannoso tenta di prosciugare gli utenti scambiando gli indirizzi utilizzati nelle transazioni o nell’attività generale on-chain e sostituendoli con l’indirizzo dell’hacker», ha aggiunto Guillemet.

Guillemet ha sottolineato che se qualsiasi applicazione decentralizzata o wallet software su qualsiasi blockchain include questi pacchetti JavaScript, allora potrebbero essere compromessi, e di conseguenza gli utenti di criptovalute potrebbero perdere i loro fondi.

«L'unico modo sicuro per contrastare questo è utilizzare un hardware wallet con uno schermo sicuro che supporti la Clear Signing», ha dichiarato Guillemet a CoinDesk. «Questo permetterà all'utente di vedere esattamente a quali indirizzi vengono inviati i fondi e di assicurarsi che corrispondano agli indirizzi previsti.»

"I portafogli hardware privi di schermi sicuri e qualsiasi portafoglio che non supporti la firma Clear sono ad alto rischio poiché è impossibile verificare con precisione che i dettagli della transazione siano corretti," ha aggiunto.

"È un'opportunità per ricordare a tutti: verificate sempre le vostre transazioni, non firmate mai alla cieca, utilizzate un hardware wallet con uno schermo sicuro e Clear Signate tutto," ha dichiarato Guillemet.

Leggi di più: Il CTO di Ledger risponde alle critiche sul nuovo servizio di recupero del portafoglio