Mục lục
Ngày 8/9, Charles Guillemet, Giám đốc Công nghệ của Ledger, đã phát đi cảnh báo toàn cộng đồng tiền mã hóa về một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra trong hệ sinh thái JavaScript. Ông khuyến nghị người dùng tạm dừng toàn bộ giao dịch on-chain nếu chưa sử dụng ví cứng để đảm bảo an toàn.
Theo chia sẻ, một tài khoản NPM uy tín đã bị chiếm quyền kiểm soát, và các gói phần mềm độc hại từ tài khoản này đã bị tải xuống hơn 1 tỷ lần. Điều này tiềm ẩn nguy cơ lan rộng đến nhiều dự án crypto vốn phụ thuộc vào hệ sinh thái JavaScript.
Guillemet nhấn mạnh: “Nếu đang sử dụng ví cứng với chức năng xác nhận giao dịch, bạn vẫn an toàn. Nhưng với ví nóng hoặc ví mềm online, hãy dừng giao dịch ngay lập tức.”
Khác với các vụ hack cá nhân, hình thức tấn công lần này được cài trực tiếp vào chuỗi phân phối phần mềm. Khi người dùng cài đặt hoặc cập nhật gói bị nhiễm, mã độc có thể tự động thay đổi địa chỉ ví nhận, khiến tài sản bị chuyển thẳng đến hacker.
Theo chuyên gia ẩn danh 0x_ultra, ngay cả những gói phổ biến như Chalk – với hơn 2 tỷ lượt tải mỗi tuần – cũng đã bị lợi dụng. Điều này có nghĩa vô số dự án phụ thuộc vào chúng đang đối mặt với nguy cơ rò rỉ private key.
Người quản lý gói bị tấn công xác nhận đã bị lừa bởi email phishing giả mạo từ miền npmjs.com, buộc anh nhấp vào liên kết độc hại. May mắn, các bản vá đầu tiên đã được tung ra vào chiều cùng ngày, nhưng nhiều hệ thống frontend và ứng dụng tích hợp vẫn có thể tiếp tục bị ảnh hưởng.
Sự cố lần này được đánh giá có thể trở thành một trong những vụ tấn công chuỗi cung ứng lớn nhất lịch sử ngành crypto, nhắc nhở cộng đồng về tầm quan trọng của việc sử dụng ví cứng và kiểm soát chặt chẽ các công cụ phát triển.
