L'8 settembre Charles Guillemet, Chief Technology Officer di Ledger, ha avvertito di un attacco attivo alla catena di distribuzione che potrebbe potenzialmente colpire l'intero ecosistema JavaScript. In un post su X, ha rivelato che l'account Node Package Manager (NPM) di uno sviluppatore affidabile era stato compromesso. L'aggressore ha inserito codice dannoso in pacchetti con oltre un miliardo di download, suscitando l'allarme della comunità crittografica.
Il codice iniettato era progettato per scambiare silenziosamente gli indirizzi dei portafogli di criptovalute durante le transazioni. In pratica, ciò significava che gli utenti ignari potevano inviare fondi direttamente all'indirizzo dell'attaccante senza rendersene conto.
Guillemet ha sottolineato che i portafogli hardware rimangono sicuri, a patto che gli utenti verifichino ogni transazione prima della firma. Ha consigliato a tutti gli altri utenti di sospendere l'attività onchain fino a quando la situazione non sarà più chiara.
Le prime preoccupazioni dell'ecosistema
La notizia ha suscitato immediata preoccupazione nel settore delle criptovalute, dove molte applicazioni decentralizzate si basano su pacchetti JavaScript open-source. Una dipendenza compromessa potrebbe esporre gli utenti di Ethereum, Solana e altre catene.
Diversi progetti, tra cui Marinade, Solflare, Step Finance, Jupiter, Drift e Phantom, hanno rapidamente rilasciato dichiarazioni che confermano che i loro sistemi non sono stati colpiti.
Nonostante queste rassicurazioni, la portata dell'esposizione potenziale era significativa. I pacchetti NPM sono alla base di molte applicazioni ampiamente utilizzate e una violazione di questa natura ha evidenziato la fragilità della sicurezza della catena di approvvigionamento nello sviluppo del software.
Meccaniche e intenti dell'attacco
In un post successivo del 9 settembre, Guillemet ha fornito ulteriori dettagli. Gli aggressori hanno ottenuto l'accesso tramite una campagna di e-mail di phishing spacciandosi per il supporto di NPM. Utilizzando un dominio falso, hanno rubato le credenziali degli sviluppatori e pubblicato aggiornamenti dannosi a pacchetti molto utilizzati. Il codice iniettato ha tentato di intercettare l'attività crittografica basata sul web, agganciandosi alle risposte della rete e sostituendo gli indirizzi dei portafogli.
Tuttavia, alcuni errori di implementazione hanno compromesso l'efficacia dell'attacco. Il codice dannoso ha causato il blocco delle pipeline di integrazione continua e di distribuzione, allertando gli sviluppatori e i team di sicurezza prima di quanto probabilmente intendessero fare gli aggressori. Questa interruzione ha limitato la portata dell'attacco e ha ridotto il numero di furti riusciti.
Danno finanziario minimo
L'analisi della blockchain suggerisce che gli aggressori hanno rubato una somma minima. Il ricercatore @4484, che ha raggruppato i portafogli collegati all'incidente su Arkham sotto l'etichetta "attacco NPM", ha trovato solo 503,59 dollari di fondi rubati. Poche ore prima, la cifra era di 66 dollari, a dimostrazione del fatto che il totale può essere cresciuto in modo incrementale, ma rimane trascurabile rispetto alla potenziale portata della compromissione.
Il fondatore pseudonimo di DefiLlama, 0xngmi, ha spiegato perché l'impatto è stato limitato. Il codice maligno poteva modificare le transazioni sui siti web utilizzando dipendenze compromesse, come la sostituzione degli indirizzi di destinazione. Tuttavia, gli utenti dovevano comunque approvare manualmente queste transazioni alterate nei loro portafogli, impedendo così il drenaggio automatico dei fondi.
Security Alliance, un collettivo di sicurezza, ha descritto il risultato come "fortunato", osservando che se gli aggressori avessero eseguito il payload in modo più efficace, il danno potenziale sarebbe stato immenso.
Una fuga stretta
L'attacco alla catena di approvvigionamento NPM di settembre serve da monito e da promemoria. Le perdite effettive sono state modeste, ma la portata dell'esposizione potenziale era enorme. Con oltre un miliardo di download dei pacchetti colpiti, l'incidente ha dimostrato come un account compromesso possa avere un effetto a catena sull'intero ecosistema.
Gli utenti e gli sviluppatori di criptovalute devono affrontare un panorama di minacce in costante evoluzione. Mentre i portafogli hardware e la verifica delle transazioni rimangono difese affidabili, gli aggressori continueranno a sondare i punti deboli nelle catene di fornitura del software. L'ultimo episodio può essersi concluso con quasi "nessuna vittima", ma il prossimo potrebbe essere molto più dannoso.
Per saperne di più su SolanaFloor
Elementi essenziali di sicurezza crittografica
Pensate che Solana abbia un problema di percezione?