Il CTO di Ledger avverte gli utenti di una violazione della supply-chain di NPM che minaccia la sicurezza delle criptovalute

Una violazione su larga scala della supply chain ha scosso la comunità open-source dopo che hacker hanno compromesso l’account Node Package Manager (NPM) di uno sviluppatore affidabile. Pacchetti ampiamente utilizzati sono stati colpiti, suscitando grandi preoccupazioni in tutto l’ecosistema JavaScript.

La violazione NPM solleva preoccupazioni per la sicurezza dei wallet

Charles Guillemet, chief technology officer di Ledger, ha rivelato l’entità della minaccia. Ha riferito che un importante account NPM era stato violato e che i pacchetti interessati erano già stati scaricati oltre 1.1 billions di volte. Data questa portata, ha affermato che l’intero ecosistema JavaScript potrebbe essere esposto. Il codice malevolo operava silenziosamente, sostituendo in tempo reale gli indirizzi di criptovalute per deviare i fondi verso gli aggressori.

Guillemet ha invitato alla cautela. Ha spiegato che gli utenti di hardware wallet rimangono al sicuro se verificano attentamente ogni transazione prima di approvarla. Per chi si affida a software wallet, ha raccomandato di evitare transazioni on-chain finché la situazione non sarà più chiara. Ha inoltre osservato che non è ancora certo se gli aggressori stiano tentando direttamente di estrarre i recovery seed dai software wallet.

Lo sviluppatore conferma la compromissione dell’account

Il maintainer al centro della violazione, Josh Junon, ha confermato che il suo account NPM era stato compromesso. In un post su Bluesky, ha spiegato che la compromissione è stata il risultato di una campagna di phishing. Gli aggressori avevano creato un dominio falso, ‘support [at] npmjs [dot]’ help, progettato per assomigliare al sito ufficiale npmjs.com.

I maintainer hanno ricevuto email minacciose che affermavano che i loro account sarebbero stati bloccati il 10 settembre 2025. Questi messaggi includevano link che reindirizzavano a siti di phishing progettati per rubare le credenziali. L’email falsa affermava:

Per mantenere la sicurezza e l’integrità del tuo account, ti chiediamo gentilmente di completare questo aggiornamento il prima possibile. Si noti che gli account con credenziali 2FA obsolete saranno temporaneamente bloccati a partire dal 10 settembre 2025, per prevenire accessi non autorizzati.

Altri sviluppatori hanno presto segnalato di essere stati presi di mira nello stesso modo, confermando che la campagna di phishing si era estesa oltre un singolo maintainer.

Risposta alla violazione NPM e analisi tecnica

Il team NPM è intervenuto rapidamente una volta rilevata la violazione, procedendo alla rimozione delle versioni malevole caricate dagli aggressori. Tra quelle rimosse c’era una release del pacchetto debug, che viene scaricato centinaia di milioni di volte ogni settimana—stimato intorno a 357 milioni.

Ulteriori analisi sono state condotte da Aikido Security e l’indagine ha rivelato quanto segue:

• Gli aggressori hanno inserito codice malevolo nei file index.js dei pacchetti compromessi. Questo agiva come un intercettatore del browser, dirottando il traffico e prendendo di mira gli utenti crypto.
• Il malware si integrava nei browser e si agganciava a funzioni come fetch, XMLHttpRequest e alle API dei wallet come window.ethereum e Solana, ottenendo accesso all’attività web e dei wallet.
• Una volta attivo, scansionava i dati alla ricerca di indirizzi wallet su Ethereum, Bitcoin, Solana, Tron, Litecoin e Bitcoin Cash. Gli indirizzi rilevati venivano sostituiti con quelli controllati dagli aggressori, spesso resi simili agli originali.
• Modificava i dettagli delle transazioni prima della firma, cambiando destinatari, approvazioni o allowance mentre l’interfaccia appariva normale, inviando i fondi agli aggressori.
• Per rimanere nascosto, evitava cambiamenti visibili quando era presente un wallet, operando invece silenziosamente in background e manipolando le transazioni reali.

Appello a precauzioni più forti

In commenti a CoinDesk, Guillemet ha avvertito che le applicazioni decentralizzate o i software wallet che includono i pacchetti compromessi potrebbero non essere sicuri, lasciando gli utenti crypto a rischio di perdere fondi. Ha sottolineato che la misura di sicurezza più affidabile è un hardware wallet con display sicuro che supporta la Clear Signing.

Questo approccio consente agli utenti di verificare l’indirizzo e i dettagli di ogni transazione direttamente sullo schermo del dispositivo, assicurando che ciò che approvano corrisponda alle loro intenzioni.

Ha aggiunto che la situazione rappresenta un forte promemoria delle pratiche essenziali: “verifica sempre le tue transazioni, non firmare mai alla cieca.” Ha inoltre consigliato l’uso di un hardware wallet con display sicuro per garantire la sicurezza.