Технології
Поділитися цією статтею

Технічний директор Ledger попереджає про атаку на ланцюг постачання NPM, яка торкнулась понад 1 мільярд завантажень

За словами Гільмета, шкідливий код — який вже було інтегровано в пакети з понад 1 мільярдом завантажень — призначений для тихої заміни адрес криптогаманців під час транзакцій. Це означає, що нічого не підозрюючи, користувачі можуть відправити кошти безпосередньо зловмиснику, не усвідомлюючи цього.

Автор Margaux Nijkerk, AI Boost|Відредаговано Nikhilesh De
8 вер. 2025 р., 7:29 пп Перекладено AI
ledger-wallet-nano-review-inserted

Що варто знати:

  • Чарльз Гійме, технічний директор виробника апаратних гаманців Ledger, попередив у X у понеділок повідомили, що розпочато масштабну атаку на ланцюг постачання після компрометації акаунту розробника з доброю репутацією в Node Package Manager (NPM).
  • За словами Гійоме, шкідливий код — вже впроваджений у пакети з понад 1 мільярдом завантажень — призначений для прихованої заміни адрес криптогаманців у транзакціях. Це означає, що нічого не підозрюючі користувачі можуть надіслати кошти прямо зловмиснику, навіть не усвідомлюючи цього.

Чарльз Гійме, технічний директор виробника апаратних гаманців Ledger, попередив у X у понеділок повідомили, що розпочато масштабну атаку на ланцюг постачання після компрометації акаунту розробника з доброю репутацією в Node Package Manager (NPM).

За словами Гійоме, шкідливий код — вже впроваджений у пакети з понад 1 мільярдом завантажень — призначений для прихованої заміни адрес криптогаманців у транзакціях. Це означає, що нічого не підозрюючі користувачі можуть надіслати кошти прямо зловмиснику, навіть не усвідомлюючи цього.

Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and політика конфіденційності.

Гійєме не назвав розробника, акаунт якого, за його словами, було скомпрометовано.

Цей інцидент підкреслює, наскільки тісно взаємопов’язане програмне забезпечення з відкритим кодом і чому збої у безпеці інструментів для розробників можуть майже миттєво впливати на криптоекономіку.

«NPM – це інструмент, який широко використовується у розробці програмного забезпечення з JavaScript, що полегшує інтеграцію пакетів для розробників», – заявив Гійомет у повідомленні для CoinDesk. Коли зловмисник отримує доступ до облікового запису розробника, він може вставити шкідливий код у широко використовувані пакети.

«Зловмисний код намагається спустошити користувачів, замінюючи адреси, які використовуються в транзакціях або загальній діяльності в блокчейні, на адресу хакера», – додав Ґійме.

Гійме наголосив, що якщо будь-який децентралізований додаток або програмний гаманець на будь-якому блокчейні включає ці пакети JavaScript, то вони можуть бути скомпрометовані, і користувачі криптовалют можуть втратити свої кошти.

«Єдиним надійним способом протистояти цьому є використання апаратного гаманця з надійним екраном, який підтримує Clear Signing», — заявив Гійемет у розмові з CoinDesk. «Це дозволить користувачеві точно бачити, на які адреси надсилаються кошти, і забезпечить їх відповідність призначеним адресам.»

"Апаратні гаманці без захищених екранів та будь-який гаманець, який не підтримує Clear signing, є високоризиковими, оскільки неможливо точно перевірити правильність деталей транзакції," додав він.

«Це нагода нагадати всім: завжди перевіряйте свої транзакції, ніколи не підтверджуйте без зорового контролю, використовуйте апаратний гаманець із захищеним екраном і завжди чітко підтверджуйте все», — сказав Ґійомет.

Читати далі: Технічний директор Ledger відповідає на критику нового сервісу відновлення гаманця

LedgerCharles guillemetHack
Застереження щодо штучного інтелекту: Частини цієї статті були створені за допомогою інструментів штучного інтелекту та перевірені нашою редакційною командою з метою забезпечення точності та відповідності наших стандартів. Для отримання додаткової інформації див. Повна політика CoinDesk щодо штучного інтелекту.