Các gói npm bị xâm nhập nhắm mục tiêu ví tiền điện tử, phơi bày các lỗ hổng Web3

Một cuộc tấn công lừa đảo nhắm vào nhà phát triển Node.js đã dẫn đến mã độc trong các gói npm, nhắm mục tiêu ví Ethereum và Solana và ảnh hưởng đến hơn 2 tỷ lượt tải xuống hàng tuần.

Tóm tắt điều hành

Kẻ tấn công đã xâm nhập các gói npm được sử dụng rộng rãi thông qua một cuộc tấn công lừa đảo, tiêm mã độc được thiết kế để đánh cắp tiền điện tử. Cuộc tấn công, được phát hiện vào ngày 8 tháng 9 năm 2025, nhắm mục tiêu vào ví Ethereum và Solana bằng cách chặn và chuyển hướng các giao dịch. Mặc dù lợi ích tài chính trực tiếp cho kẻ tấn công là tối thiểu, sự cố này đã bộc lộ các lỗ hổng nghiêm trọng trong chuỗi cung ứng phần mềm và làm dấy lên mối lo ngại về bảo mật của hệ sinh thái Web3.

Chi tiết sự kiện

Một nhà phát triển nguồn mở được đánh giá cao, Josh Junon (còn gọi là qix), đã bị xâm nhập thông qua một email lừa đảo mạo danh npmjs.help. Kẻ tấn công đã giành quyền kiểm soát tài khoản npm của Junon và tiêm mã độc vào 18 gói, bao gồm các thư viện phổ biến như chalk, debug và ansi-styles, ảnh hưởng đến hơn 2 tỷ lượt tải xuống hàng tuần. Mã độc nhắm mục tiêu vào các giao dịch tiền điện tử, đặc biệt theo dõi các địa chỉ ví Ethereum, Solana, Bitcoin, Tron, Litecoin và Bitcoin Cash trong lưu lượng mạng. Mã này ghi đè các mục tiêu giao dịch, thay thế các địa chỉ hợp pháp bằng các địa chỉ do kẻ tấn công kiểm soát và thay đổi các giao dịch chưa ký, sửa đổi người nhận và số tiền trước khi người dùng ký.

Ảnh hưởng thị trường

Cuộc tấn công làm nổi bật tính dễ bị tổn thương của hệ sinh thái Web3 đối với các sự cố chuỗi cung ứng. Mặc dù Binance tuyên bố rằng không có dữ liệu người dùng hoặc tài sản nào bị xâm phạm, sự cố này đã làm dấy lên những lo ngại rộng hơn về bảo mật của phần mềm mã nguồn mở và tiềm năng cho các cuộc tấn công quy mô lớn nhắm vào người dùng tiền điện tử. Sự cố này có thể dẫn đến việc kiểm tra chặt chẽ hơn các phụ thuộc phần mềm và thúc đẩy các biện pháp bảo mật nghiêm ngặt hơn trong hệ sinh thái Node.js. Các nhóm bảo mật phải đối mặt với chi phí đáng kể để cập nhật hệ thống.

Bình luận của chuyên gia

"Ngay cả phần mềm mã nguồn mở cũng không an toàn trong những ngày này. Web3 sẽ định nghĩa lại bảo mật cho Web2," Changpeng Zhao (CZ), đồng sáng lập của Binance, tuyên bố trên nền tảng xã hội X.

Charles Guillemet, giám đốc công nghệ tại nhà sản xuất ví cứng Ledger, lưu ý rằng mã độc đã lan truyền vào các gói có hơn một tỷ lượt tải xuống.

Bối cảnh rộng hơn

Cuộc tấn công nhấn mạnh tầm quan trọng của các biện pháp bảo mật mạnh mẽ trong chuỗi cung ứng phần mềm. Các khuyến nghị để giảm thiểu các cuộc tấn công tương tự bao gồm: thường xuyên kiểm tra các phụ thuộc npm, sử dụng package-lock.json để đảm bảo các phiên bản phụ thuộc nhất quán, xác minh nhà xuất bản gói và theo dõi các bản cập nhật gói bất ngờ. Sự cố phản ánh xu hướng ngày càng tăng của tội phạm mạng nhắm mục tiêu vào cơ sở hạ tầng tiền điện tử thông qua các chiến dịch lừa đảo tinh vi và các cuộc tấn công chuỗi cung ứng. Như các nhà nghiên cứu bảo mật đã lưu ý, gần như mọi cuộc tấn công lớn vào năm 2025 đều nhắm mục tiêu vào cơ sở hạ tầng tiền điện tử, với các chiến dịch lừa đảo được chứng minh là hiệu quả hơn các khai thác zero-day.