Các nhà nghiên cứu bảo mật cảnh báo cộng đồng crypto cần hết sức cẩn trọng sau khi phát hiện một trong những vụ tấn công supply chain lớn nhất trong lịch sử. Hacker đã xâm nhập tài khoản NPM của một lập trình viên uy tín và chèn mã độc vào các thư viện JavaScript cốt lõi như chalk, strip-ansi và color-convert. Đây là những gói nhỏ nhưng được sử dụng gián tiếp trong hàng triệu dự án, với tổng lượt tải hơn 1 tỷ lần mỗi tuần.
Mã độc cài bên trong hoạt động như một crypto-clipper, âm thầm thay thế địa chỉ ví khi người dùng thực hiện giao dịch, từ đó chuyển tiền đến ví của kẻ tấn công. Người dùng ví phần mềm bị ảnh hưởng nặng nhất, trong khi những ai xác nhận giao dịch bằng ví cứng (hardware wallet) được bảo vệ tốt hơn.
Ledger CTO Charles Guillemet gọi đây là một “cuộc tấn công quy mô lớn” có thể đe dọa toàn bộ hệ sinh thái JavaScript. Theo Oxngmi – nhà sáng lập DefiLlama – mã độc không tự động rút tiền, nhưng có thể tráo chi tiết giao dịch khi người dùng bấm nút swap.
Đáng chú ý, hacker đã dùng chiêu lừa phishing: gửi email giả danh NPM, yêu cầu các nhà phát triển “cập nhật” xác thực hai lớp. Nhiều maintainer mắc bẫy, vô tình cung cấp thông tin đăng nhập, từ đó hacker kiểm soát được tài khoản và đẩy bản cập nhật độc hại lên NPM.
Hiện chưa rõ dự án nào đã bị ảnh hưởng, vì thế chuyên gia khuyến nghị người dùng nên tạm dừng giao dịch crypto trên web cho đến khi các gói thư viện bị xóa sạch mã độc.
