{"id":2165,"date":"2025-09-09T01:55:27","date_gmt":"2025-09-09T01:55:27","guid":{"rendered":"https:\/\/bitcoinnewscrypto.com\/pl\/?p=2165"},"modified":"2025-09-09T01:55:27","modified_gmt":"2025-09-09T01:55:27","slug":"crypto-supply-chain-attack-npm-malware","status":"publish","type":"post","link":"https:\/\/bitcoinnewscrypto.com\/pl\/news\/solana\/crypto-supply-chain-attack-npm-malware\/","title":{"rendered":"Kryptowaluty w niebezpiecze\u0144stwie! Nowy cyberatak na \u0142a\u0144cuch dostaw!"},"content":{"rendered":"<p>Nowy cyberatak kradnie kryptowaluty u\u017cytkownikom podczas wysy\u0142ania transakcji, a wielu ekspert\u00f3w nazywa go najwi\u0119kszym atakiem na \u0142a\u0144cuch dostaw w historii. Hakerzy w\u0142amali si\u0119 na konta os\u00f3b utrzymuj\u0105cych pakiety npm, u\u017cywaj\u0105c e-maili phishingowych. E-maile te wygl\u0105da\u0142y tak, jakby pochodzi\u0142y z &#8220;<a href=\"mailto:support@npmjs.help\">support@npmjs.help<\/a>&#8220;, kopiuj\u0105c prawdziwy rejestr npm. Wiadomo\u015bci informowa\u0142y deweloper\u00f3w, \u017ce ich konta zostan\u0105 zablokowane, je\u015bli nie zaktualizuj\u0105 uwierzytelniania dwusk\u0142adnikowego. Kiedy osoby utrzymuj\u0105ce pakiety klika\u0142y link, atakuj\u0105cy uzyskiwali dane logowania i umieszczali z\u0142o\u015bliwe oprogramowanie w popularnych pakietach npm.<\/p>\n\n<p>Osiemna\u015bcie szeroko stosowanych bibliotek JavaScript zosta\u0142o naruszonych, w tym chalk, debug i ansi-styles. \u0141\u0105cznie pakiety te s\u0105 pobierane miliardy razy ka\u017cdego tygodnia i s\u0105 u\u017cywane przez deweloper\u00f3w na ca\u0142ym \u015bwiecie. Oznacza to, \u017ce ca\u0142y ekosystem JavaScript m\u00f3g\u0142 zosta\u0107 nara\u017cony. BleepingComputer poinformowa\u0142, \u017ce atakuj\u0105cy wstrzykn\u0119li do tych bibliotek kod, kt\u00f3ry dzia\u0142a\u0142 jak przechwytuj\u0105cy na poziomie przegl\u0105darki. Kod ten monitorowa\u0142 ruch w sieci i wyszukiwa\u0142 transakcje kryptowalutowe w Bitcoin, Ethereum, Solana, Tron, Litecoin i Bitcoin Cash. Kiedy kto\u015b wysy\u0142a\u0142 przelew, z\u0142o\u015bliwe oprogramowanie zast\u0119powa\u0142o prawdziwy adres portfela adresem kontrolowanym przez haker\u00f3w przed podpisaniem transakcji.<\/p>\n\n<p>Badacz bezpiecze\u0144stwa Charlie Eriksen wyja\u015bni\u0142, \u017ce z\u0142o\u015bliwe oprogramowanie dzia\u0142a na kilka sposob\u00f3w. Zmienia to, co jest wy\u015bwietlane na stronach internetowych, ingeruje w wywo\u0142ania API i oszukuje aplikacje, aby podpisywa\u0142y transakcje, kt\u00f3rych u\u017cytkownik nie zamierza\u0142 wykona\u0107. Charles Guillemet, dyrektor ds. technicznych w Ledger, ostrzeg\u0142, \u017ce atak jest wci\u0105\u017c aktywny i stwierdzi\u0142, \u017ce u\u017cytkownicy kryptowalut powinni unika\u0107 dokonywania transakcji on-chain, je\u015bli u\u017cywaj\u0105 tylko portfeli programowych. U\u017cytkownicy portfeli sprz\u0119towych mog\u0105 si\u0119 chroni\u0107, sprawdzaj\u0105c szczeg\u00f3\u0142y przed podpisaniem, ale ka\u017cdy, kto nie ma portfela sprz\u0119towego, jest nara\u017cony na wi\u0119ksze ryzyko.<\/p>\n\n<p>Naukowcy odkryli r\u00f3wnie\u017c, \u017ce infrastruktura phishingowa wysy\u0142a\u0142a skradzione dane do &#8220;websocket-api2.publicvm.com&#8221;. To pokazuje, \u017ce atak by\u0142 dobrze skoordynowany. Nast\u0119puje to po innych incydentach npm na pocz\u0105tku tego roku, w tym jednym w marcu, kt\u00f3ry za\u0142ata\u0142 pakiet ethers za pomoc\u0105 reverse shell, oraz innym w lipcu, kt\u00f3ry by\u0142 skierowany na eslint-config-prettier. Kampania wci\u0105\u017c ewoluuje, a tym razem atakuj\u0105cy wykorzystali inteligentne kontrakty Ethereum w nowy spos\u00f3b. Dwa pakiety npm o nazwach colortoolsv2 i mimelib2 ukry\u0142y z\u0142o\u015bliwe polecenia w inteligentnych kontraktach Ethereum. Po pobraniu pakiety zainstalowa\u0142y z\u0142o\u015bliwe oprogramowanie drugiego etapu, co utrudnia\u0142o jego wykrycie.<\/p>\n\n<p>Inteligentne kontrakty Ethereum to ma\u0142e programy, kt\u00f3re dzia\u0142aj\u0105 na blockchainie. S\u0105 publiczne i dzia\u0142aj\u0105 jak otwarte interfejsy API. W tym przypadku hakerzy wykorzystali je do przechowywania link\u00f3w do pobierania z\u0142o\u015bliwego oprogramowania, wi\u0119c nawet je\u015bli kto\u015b sprawdzi\u0142by pakiet, m\u00f3g\u0142by nie zobaczy\u0107 niebezpiecznego kodu. Ta kreatywna metoda dowodzenia i kontroli pokazuje, jak aktorzy zagro\u017ce\u0144 dostosowuj\u0105 si\u0119, aby unikn\u0105\u0107 wykrycia.<\/p>\n\n<p>Atakuj\u0105cy pr\u00f3bowali r\u00f3wnie\u017c sprawi\u0107, by ich repozytoria GitHub wygl\u0105da\u0142y na godne zaufania. Stworzyli fa\u0142szywe projekty, takie jak solana-trading-bot-v2 i ethereum-mev-bot-v2. Mia\u0142y one wiele gwiazdek, obserwuj\u0105cych i zatwierdze\u0144, ale wi\u0119kszo\u015b\u0107 tej aktywno\u015bci by\u0142a fa\u0142szywa. Konta zosta\u0142y utworzone w tym samym czasie, cz\u0119sto tylko z jednym plikiem, a zautomatyzowane zatwierdzenia zawy\u017ca\u0142y liczby. Ten trik in\u017cynierii spo\u0142ecznej sprawi\u0142, \u017ce repozytoria wygl\u0105da\u0142y na prawdziwe dla deweloper\u00f3w, kt\u00f3rzy mogli uwzgl\u0119dni\u0107 z\u0142o\u015bliwe pakiety npm w swojej pracy.<\/p>\n\n<p>Eksperci ostrzegaj\u0105, \u017ce ataki na \u0142a\u0144cuch dostaw s\u0105 szczeg\u00f3lnie niebezpieczne, poniewa\u017c s\u0105 skierowane na zaufane narz\u0119dzia. Ukrywaj\u0105c z\u0142o\u015bliwe oprogramowanie w bibliotekach open source, hakerzy mog\u0105 jednocze\u015bnie dotrze\u0107 do milion\u00f3w deweloper\u00f3w i u\u017cytkownik\u00f3w ko\u0144cowych. Tylko w tym roku naukowcy odkryli ponad dwadzie\u015bcia kampanii w npm, GitHub i PyPI, kt\u00f3rych celem by\u0142o kradzie\u017c kryptowalut. Niekt\u00f3re wykorzystywa\u0142y infostealery, inne wdra\u017ca\u0142y kopaczy monet, a wiele z nich polega\u0142o na phishingu w celu przechwycenia poufnych danych.<\/p>\n\n<p>Wska\u017aniki kompromitacji (IOC), takie jak podejrzane domeny, zaciemniony kod i fa\u0142szywe repozytoria, pomagaj\u0105 zespo\u0142om ds. bezpiecze\u0144stwa w wykrywaniu tych zagro\u017ce\u0144. Mimo to wielu u\u017cytkownik\u00f3w nie zauwa\u017cy niczego, dop\u00f3ki fundusze nie znikn\u0105. Na razie deweloperzy musz\u0105 dok\u0142adnie sprawdza\u0107 pakiety, osoby utrzymuj\u0105ce pakiety i kod przed u\u017cyciem. U\u017cytkownicy kryptowalut powinni rozwa\u017cy\u0107 portfele sprz\u0119towe i unika\u0107 dokonywania du\u017cych przelew\u00f3w, dop\u00f3ki zagro\u017cenie nie zostanie opanowane. Atak pokazuje, jak szybko ewoluuje cyberprzest\u0119pczo\u015b\u0107 i jak wa\u017cne jest zabezpieczanie zar\u00f3wno \u0142a\u0144cuch\u00f3w dostaw oprogramowania, jak i aktyw\u00f3w cyfrowych.<\/p>","protected":false},"excerpt":{"rendered":"<p>Nowy cyberatak kradnie kryptowaluty u\u017cytkownikom podczas wysy\u0142ania transakcji, a wielu ekspert\u00f3w nazywa go najwi\u0119kszym atakiem na \u0142a\u0144cuch dostaw w historii. Hakerzy w\u0142amali si\u0119 na konta os\u00f3b utrzymuj\u0105cych pakiety npm, u\u017cywaj\u0105c&hellip;<\/p>\n","protected":false},"author":2,"featured_media":2166,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-solana"],"_links":{"self":[{"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/posts\/2165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/comments?post=2165"}],"version-history":[{"count":1,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/posts\/2165\/revisions"}],"predecessor-version":[{"id":2167,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/posts\/2165\/revisions\/2167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/media\/2166"}],"wp:attachment":[{"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/media?parent=2165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/categories?post=2165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/pl\/wp-json\/wp\/v2\/tags?post=2165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}