Charles Guillemet, CTO di Ledger: evitare transazioni crittografiche, scoperto attacco alla supply chain

È stato scoperto un attacco diffuso alla supply chain, che potrebbe traci dati di un portafoglio crittografico e rubare asset su tutte le catene. La libreria npm di un account importante e affidabile è stata compromessa, hanno annunciato i ricercatori. 

Un attacco diffuso alla supply chain di NPM sta potenzialmente prendendo di mira i proprietari dei wallet di criptovalute più diffusi. Charles Guillemet, CTO di Ledger, ha consigliato agli utenti di evitare transazioni in criptovalute utilizzando i comuni wallet basati su browser o desktop e di effettuare transazioni tramite wallet hardware solo con grande cautela. 

🚨 È in corso un attacco su larga scala alla supply chain: l'account NPM di uno sviluppatore affidabile è stato compromesso. I pacchetti interessati sono già stati scaricati oltre 1 miliardo di volte, il che significa che l'intero ecosistema JavaScript potrebbe essere a rischio.

Il payload dannoso funziona..

— Charles Guillemet (@P3b7_) 8 settembre 2025

I ricercatori hanno scoperto che uno degli account stava diffondendo pacchetti con codice dannoso in grado di trace persino dirottare le transazioni crittografiche. Subito dopo l'attacco, il responsabile ha contattato la community tramite un profilo Hackernoon per avvisare che i pacchetti interessati erano ancora in gran parte compromessi e non erano ancora stati sostituiti con versioni sicure.

L'account del manutentore di npm non è ancora stato recuperato ed è stato molto probabilmente rubato tramite ingegneria sociale e una falsa procedura di autenticazione a due fattori. Gli utenti di GitHub hanno segnalato un'email sospetta proveniente dal supporto di npmjs. 

L'evento attuale è considerato il più grande attacco NPM alla supply chain della storia. Se le email riescono a rubare altri account, altri fornitori potrebbero essere compromessi.

Un attacco su larga scala alla supply chain prende di mira i portafogli crittografici software

La scorsa settimana, Cryptopolitan ha segnalato due pacchetti compromessi per rubare criptovalute su Ethereum. 

L'attacco attuale è molto più esteso: ha colpito un totale di 18 pacchetti npm molto popolari, con 2 miliardi di download nell'ultima settimana. Al momento, non è chiaro quanti di questi pacchetti si siano diffusi nell'ecosistema JavaScript. 

L'attacco alla supply chain è considerato una delle minacce più grandi nel settore delle criptovalute, in quanto può potenzialmente modificare la destinazione dei fondi al volo, nonostante l'utente sembri aver firmato la transazione corretta. 

tronvivamente di non firmare alcuna transazione crittografica in questo momento.

È in corso un enorme attacco alla supply chain di pacchetti NPM molto diffusi, che potrebbe aver compromesso vari siti web di criptovalute (frontend, non itracveri e propri).

Cambia l'indirizzo di destinazione delle transazioni e..

— cygaar (@0xCygaar) 8 settembre 2025

Ancora una volta, la minaccia più grande riguarda gli utenti di portafogli software, con conseguenze che riguardano MetaMask, Trust Wallet, Exodus e altri. Tutti i pacchetti npm sono stati disabilitati, ma gli sviluppatori devono tornare al loro codice per interrompere l'utilizzo dei pacchetti difettosi. 

Ore dopo l'attacco, Axiom e Jupiter DEX hanno confermato di non aver utilizzato alcun pacchetto npm difettoso e che le transazioni possono continuare. Anche Kamino ha riferito di non aver distribuito alcun codice difettoso.

Gli utenti sono invitati a evitare di firmare transazioni finché gli sviluppatori non daranno il via libera

Per ora, si ritiene improbabile che l'attaccante sia in grado di rubare direttamente seed privati, poiché ciò esporrebbe problemi ancora più gravi alla sicurezza dei wallet. Attualmente, i wallet degli utenti sono sicuri a meno che non inviino o firmino una transazione. 

Lo scambio di indirizzi avviene prima della firma, poiché l'attaccante utilizza dall'aspetto simile . Gli indirizzi sono pressoché identici e richiedono una verifica dettagliata lettera per lettera prima della firma. Di solito, gli utenti di criptovalute controllano solo le prime e le ultime quattro cifre, esponendoli ad attacchi di scambio di indirizzi. 

Tuttavia, esistono anchetracintelligenti e transazioni automatizzate. Si consiglia agli utenti finali di bloccare e disattivare tutti i wallet del browser e di astenersi dal firmare transazioni. La notizia non ha inoltre fermato il rally delle criptovalute di lunedì. Inoltre, gli investigatori on-chain non hanno inviato avvisi di perdite ingenti o insolite da singoli wallet.

L'attacco può colpire tutte le app dell'ecosistema Web3 e DeFi . Attualmente, le transazioni continuano su tutte le chain. I ricercatori hanno acquisito uno screenshot dei potenziali wallet, alcuni dei quali sono ancora vuoti.