Binance, il più grande exchange di criptovalute al mondo per volume di scambi, ha rassicurato martedì i clienti che nessun dato o asset degli utenti è stato compromesso durante uno dei più grandi attacchi alla supply chain che abbiano mai colpito l'ecosistema JavaScript.
Secondo una dichiarazione pubblicata su X, Binance ha dichiarato che non è stato arrecato alcun danno al suo database durante una violazione che ha preso di mira i pacchetti Node.js ampiamente utilizzati, coinvolti in oltre 2 miliardi di download settimanali di app.
"Siamo a conoscenza del recente attacco alla supply chain, che ha pubblicato versioni dannose di diversi pacchetti JavaScript ampiamente utilizzati", ha scritto l'azienda. "Dopo le indagini, abbiamo confermato di non essere stati colpiti e che nessun dato o risorsa dei clienti è a rischio. La sicurezza rimane la nostra massima priorità e questa compromissione ci ricorda quanto sia fondamentale la sicurezza della supply chain. State al sicuro."
Parlando dell'attacco alla supply chain della piattaforma social, il co-fondatore Changpeng Zhao, noto anche come CZ, ha osservato : "Nemmeno il software open source è sicuro al giorno d'oggi. Web3 ridefinirà defi sicurezza per Web2. Siamo ancora agli inizi".
L'attacco alla supply chain sui pacchetti JavaScript spaventa gli investitori in criptovalute
L'attacco, che i ricercatori di sicurezza hanno definito uno dei più grandi nella storia di NPM, ha avuto luogo l'8 settembre. Gli hacker hanno compromesso l'account di un fidato manutentore open source noto con lo pseudonimo "qix",dentanche come Josh Junon.
Gli aggressori hanno ingannato Junon tramite un'e-mail di phishing che impersonava comunicazioni ufficiali di npmjs, il repository centrale per i pacchetti JavaScript. Come si evince dall'e-mail fraudolenta, gli autori hanno convinto Junon che il suo account sarebbe stato bloccato il 10 settembre 2025, a meno che non avesse aggiornato immediatamente le suedentdi autenticazione a due fattori.
"Nell'ambito del nostro impegno costante per la sicurezza degli account, chiediamo a tutti gli utenti di aggiornare le propriedentdi autenticazione a due fattori (2FA). I nostri archivi indicano che sono trascorsi più di 12 mesi dall'ultimo aggiornamento della 2FA", si legge nell'e-mail.
Junon ha confermato su X di essere caduto vittima di un'azione di phishing dopo che un altro responsabile ha rivelato che il suo account NPM stava "pubblicando pacchetti con backdoor", consentendo agli aggressori di dirottare il suo account e di inviare aggiornamenti dannosi a 18 librerie Node.js molto diffuse.
I pacchetti includevano chalk, debug, ansi-styles e strip-ansi, tutti incorporati nel web.
Il codice dannoso prende di mira le transazioni crittografiche
Secondo l'analisi di Aikido Security, gli aggressori hanno iniettato nei pacchetti compromessi un codice che consentiva loro di agire come intercettori basati sul browser. Il codice veniva inserito nei file index.js, dove poteva dirottare il traffico di rete e le API di qualsiasi applicazione che utilizzasse i pacchetti compromessi.
Lo script dannoso monitora gli indirizzi dei wallet e le transazioni dei principali asset digitali, tra cui Bitcoin, Ethereum, Solana, Tron, Litecoine Bitcoin Cash. Una volta rilevato, il malware ha sostituito silenziosamente l'indirizzo del wallet di destinazione con uno controllato dagli aggressori, reindirizzando i fondi all'insaputa della vittima.
Come riportato da Cryptopolitan , il responsabile tecnico del produttore di portafogli hardware Ledger, Charles Guillemet, ha affermato che il codice dannoso era già stato propagato in pacchetti con oltre un miliardo di download.
La società di analisi blockchain Arkham Intelligence ha riferito lunedì sera che finora sono stati rubati solo 159 dollari in criptovalute. I fondi rubati sono stati tracagli indirizzidentnelle comunicazioni originali condivise dal team di sicurezza di Ledger.
Tuttavia, i ricercatori ritengono che questa cifra bassa non significhi che i danni potenziali saranno limitati, dati i miliardi di download associati ai pacchetti compromessi.
