Grootste crypto supply chain aanval ooit treft NPM pakketten
Een enorme supply chain aanval treft op dit moment de JavaScript wereld, waarbij populaire NPM pakketten zijn besmet met kwaadaardige code. Het gaat om miljoenen projecten wereldwijd die risico lopen, vooral voor gebruikers die crypto bezitten. De aanval is bijzonder geavanceerd en richt zich specifiek op het stelen van cryptogeld via gemanipuleerde netwerkverzoeken.
Bitcoin is verkrijgbaar bij Bitvavo en Bybit.
Crypto transacties in gevaar door slimme malware
De aanval begon toen het account van een bekende ontwikkelaar op NPM (qix) werd overgenomen. Daarmee publiceerde de aanvaller besmette updates van veelgebruikte pakketten zoals chalk, strip ansi en color convert. Samen zijn deze bibliotheken goed voor meer dan een miljard downloads per week. Hierdoor is praktisch elk JavaScript project op internet potentieel getroffen.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk. The malicious payload works…
Wat doet de malware precies? Het gaat om een zogenaamde “crypto clipper”, een stukje software dat automatisch crypto adressen vervangt tijdens transacties. De gebruiker denkt zijn eigen wallet adres te gebruiken, maar het script verwisselt dit op het laatste moment met een adres van de aanvaller. Nog verraderlijker is dat de vervanging gebeurt met een adres dat sterk lijkt op het origineel, dankzij een algoritme dat visuele gelijkenis berekent. Daardoor vallen de wijzigingen nauwelijks op met het blote oog.
Hardware wallet gebruikers zitten voorlopig veiliger
Gebruikers met een hardware wallet zijn relatief veilig, mits ze goed controleren naar welk adres ze hun crypto sturen voordat ze iets ondertekenen. Voor iedereen die gebruikmaakt van een software wallet, is het advies om voorlopig geen on chain transacties uit te voeren. De kans bestaat namelijk dat de malware ook direct toegang probeert te krijgen tot herstelzinnen (seeds) van wallets, hoewel dat nog niet 100% zeker is.
De kwaadaardige code werd ontdekt na een foutmelding in een buildproces. Die melding leidde onderzoekers naar de besmette versie van het pakket error ex, waarin zwaar versleutelde code zat verstopt. Bij het uitpluizen van de code werd duidelijk dat het script netwerkverzoeken onderschept en crypto informatie steelt.
Dit kun je doen om je projecten te beveiligen
Ondanks dat veel besmette versies inmiddels zijn verwijderd van NPM, kunnen ze nog steeds binnenkomen via andere afhankelijkheden. Ontwikkelaars wordt daarom aangeraden om de zogeheten overrides functie in package.json te gebruiken om veilige versies van getroffen pakketten af te dwingen. Vergeet daarna niet om je node_modules en package-lock.json te verwijderen en opnieuw te installeren met npm install.
Een van de gebruikte Ethereum adressen van de aanvallers is openbaar en te volgen via Etherscan: 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976. De lijst met andere adressen is beschikbaar via een analyse op Substack.
Voor wie werkt in Web3, crypto of met JavaScript: wees extreem voorzichtig de komende dagen. Zelfs een simpele update van een pakket kan de deur openen voor diefstal van je digitale assets. Lees ook dit recente voorbeeld van hoe aanvallen zich kunnen ontwikkelen.
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Nieuws
Meer nieuws ›
