Avviso di sicurezza: un altro noto sviluppatore ha subito una violazione del proprio account NPM, che è stato infettato da malware per il furto di wallet.

BlockBeats notizia, il 9 settembre, secondo il monitoraggio di Socket, il continuo attacco alla supply chain di NPM si è diffuso dallo sviluppatore noto Qix a un altro manutentore di alto profilo: l’account NPM duckdb_admin, responsabile dei pacchetti relativi a DuckDB, è stato compromesso e sono state pubblicate più versioni malevole. Il codice iniettato è lo stesso malware per il furto di wallet utilizzato quando l’account di Qix è stato compromesso, il che suggerisce fortemente che entrambi facciano parte della stessa operazione di attacco.

Secondo precedenti notizie, il CTO di Ledger ha dichiarato che si è verificato un attacco su larga scala alla supply chain e che l’intero ecosistema JavaScript potrebbe essere a rischio. Tuttavia, gli attaccanti NPM non sono riusciti nel loro intento e ci sono state quasi nessuna vittima.