Un grave attacco informatico ha scosso l’ecosistema globale del software e messo a rischio milioni di utenti crypto. Gli hacker hanno dirottato l’account di un popolare sviluppatore su npm, la piattaforma che alimenta gran parte del web, e hanno inserito aggiornamenti dannosi in librerie di codice ampiamente utilizzate.
Queste librerie sono sepolte in profondità all’interno di innumerevoli app e siti web. Insieme, vengono scaricate più di un miliardo di volte ogni settimana. Questa scala rende questo uno dei più grandi compromessi della catena di fornitura del software mai visti.
Un nuovo malware che prende di mira le transazioni crypto
SponsoredIl codice dannoso prende di mira le transazioni di criptovalute. Funziona in due modi.
In primo luogo, se non viene rilevato alcun wallet, il malware cerca indirizzi crypto all’interno di un sito web e li sostituisce con indirizzi controllati dagli attaccanti.
Utilizza trucchi ingegnosi per scambiarli con sosia che sono visivamente quasi identici. Questo rende facile per gli utenti non accorgersi dello scambio.
In secondo luogo, se è presente un wallet come MetaMask, il codice modifica attivamente le transazioni.
Quando un utente si prepara a inviare fondi, il malware intercetta i dati e sostituisce il destinatario con l’indirizzo dell’attaccante. Se l’utente firma senza controllare attentamente, il suo denaro è perso.
Sponsored SponsoredOgni utente crypto potrebbe essere a rischio
L’attacco è iniziato quando l’account npm dello sviluppatore noto come Qix è stato compromesso. Gli hacker hanno quindi pubblicato nuove versioni di dozzine dei suoi pacchetti, comprese le utilità di base menzionate sopra.
Gli sviluppatori che hanno aggiornato i loro progetti hanno automaticamente integrato queste versioni avvelenate. Qualsiasi sito web o applicazione decentralizzata che le ha distribuite potrebbe inconsapevolmente esporre i propri utenti.
La violazione è stata scoperta solo dopo che un errore di build ha attirato l’attenzione su un codice strano e illeggibile all’interno di uno dei pacchetti aggiornati.
Gli esperti di sicurezza hanno successivamente scoperto che si trattava di un sofisticato “crypto-clipper” progettato per reindirizzare silenziosamente i fondi.
La minaccia è particolarmente seria per chiunque effettui transazioni tramite un browser web. Se hai copiato un indirizzo da un sito o se hai firmato un trasferimento senza controllare, potresti essere a rischio.
Il Chief Technology Officer di Ledger ha emesso un severo avvertimento sui social media.
Cosa dovresti fare ora
Sponsored SponsoredGli esperti raccomandano diversi passaggi urgenti per tutti i possessori di crypto:
- Verifica degli indirizzi: Leggi sempre l’indirizzo completo sullo schermo di conferma del tuo wallet o dispositivo hardware prima di firmare.
- Sospendi l’attività se non sei sicuro: Se utilizzi un wallet basato su browser o software, considera di sospendere le transazioni finché non si sa di più.
- Controlla l’attività recente: Rivedi i trasferimenti e le approvazioni passate. Se vedi qualcosa di sospetto, revoca le approvazioni e sposta i fondi su un nuovo wallet.
- Usa transazioni di prova: Quando invii a un nuovo indirizzo, trasferisci prima una piccola somma per confermare che arrivi in sicurezza.
- Affidati ai wallet hardware: I dispositivi che mostrano i dettagli delle transazioni su uno schermo separato rimangono l’opzione più sicura.
L’attacco mostra quanto sia fragile la fiducia nell’ecosistema del software open-source. Un singolo account sviluppatore compromesso ha permesso agli hacker di inserire codice pericoloso in miliardi di download.
Questo incidente è ancora in corso. Le versioni dannose vengono rimosse, ma alcune potrebbero rimanere online per giorni o settimane. L’approccio più sicuro è la vigilanza.
Se usi crypto, controlla ogni transazione con attenzione. Un’occhiata in più all’indirizzo sul tuo wallet potrebbe fare la differenza tra sicurezza e furto.