Bitget App
Trade smarter
Acquista CryptoMercatiTradingFuturesEarnPlazaAltro
Bitget
Notizie
Il compromesso della supply-chain di NPM potrebbe esporre i fondi crypto a malware che scambiano indirizzi, afferma il CTO di Ledger

Il compromesso della supply-chain di NPM potrebbe esporre i fondi crypto a malware che scambiano indirizzi, afferma il CTO di Ledger

CoinotagCoinotag2025/09/08 21:25
Mostra l'originale
Per:Marisol Navaro








L’exploit della supply chain NPM è una compromissione su larga scala di pacchetti JavaScript affidabili che può scambiare silenziosamente indirizzi crypto durante le transazioni e rubare fondi. Gli utenti dovrebbero evitare di firmare transazioni, controllare i pacchetti integrati e aggiornare o rimuovere immediatamente i moduli interessati per ridurre l’esposizione.

  • Lo scambio malevolo di indirizzi nei wallet web prende di mira le transazioni crypto.

  • I pacchetti compromessi includono moduli NPM ampiamente utilizzati come “color-name” e “color-string”.

  • I pacchetti interessati sono stati scaricati oltre 1 miliardo di volte, aumentando l’esposizione cross-chain.

Exploit della supply chain NPM: SMETTI di firmare transazioni ora—verifica i pacchetti e proteggi i wallet. Scopri subito i passi protettivi.

Cos’è l’exploit della supply chain NPM?

L’exploit della supply chain NPM è una compromissione di account sviluppatore affidabili che inietta un payload malevolo nei pacchetti JavaScript. Il payload può scambiare silenziosamente indirizzi di criptovalute nei wallet web-based e nelle dApp, mettendo a rischio fondi su più chain.

Come sono stati compromessi i pacchetti JavaScript?

Ricercatori di sicurezza ed esperti del settore hanno riportato che un account sviluppatore affidabile su NPM è stato violato, permettendo agli attaccanti di pubblicare aggiornamenti contaminati. Il codice malevolo è progettato per essere eseguito nei contesti browser utilizzati dai siti crypto e può cambiare gli indirizzi di destinazione al momento della transazione.


Quali pacchetti e componenti sono interessati?

Le società di sicurezza blockchain hanno identificato circa due dozzine di popolari pacchetti NPM interessati, inclusi piccoli moduli di utilità come “color-name” e “color-string”. Poiché NPM è un gestore centrale di pacchetti per JavaScript, molti siti web e progetti front-end importano queste dipendenze in modo transitivo.

Riepilogo del rischio segnalato per pacchetto Pacchetto Download segnalati Livello di rischio
color-name Centinaia di milioni Alto
color-string Centinaia di milioni Alto
Altri moduli di utilità (collettivo) Oltre 1 miliardo in totale Critico

Come possono gli utenti crypto proteggere i fondi subito?

Passi immediati: smettere di firmare transazioni su wallet web, disconnettere i wallet browser dalle dApp ed evitare interazioni con siti che si affidano a JavaScript non verificato. Validare l’integrità dei pacchetti negli ambienti di sviluppo e applicare regole rigorose di Content Security Policy (CSP) sui siti che controlli.

Quali precauzioni dovrebbero prendere gli sviluppatori?

Gli sviluppatori devono fissare le versioni delle dipendenze, verificare le firme dei pacchetti dove disponibili, eseguire strumenti di scansione della supply chain e controllare gli aggiornamenti recenti dei pacchetti. Tornare a versioni note come sicure e ricostruire dai lockfile può ridurre l’esposizione. Utilizzare build riproducibili e verifiche indipendenti per le librerie front-end critiche.



Domande Frequenti

Quanto è immediata la minaccia per gli utenti crypto quotidiani?

La minaccia è immediata per gli utenti che interagiscono con wallet web-based o dApp che caricano JavaScript da pacchetti pubblici. Se un sito dipende dai moduli contaminati, il codice di scambio indirizzo può essere eseguito nel browser durante il flusso di transazione.

Chi ha identificato la compromissione e cosa ha detto?

Il CTO di Ledger, Charles Guillemet, ha segnalato pubblicamente il problema, sottolineando la scala e il meccanismo dello scambio di indirizzi. Anche società di sicurezza blockchain hanno riportato i moduli impattati. Queste osservazioni provengono da post pubblici e avvisi di sicurezza riportati da esperti del settore.

Punti Chiave

  • Smetti di firmare transazioni: Evita di firmare nei wallet web finché i pacchetti non sono verificati.
  • Controlla le dipendenze: Gli sviluppatori devono fissare, firmare e scansionare i pacchetti NPM utilizzati nel codice front-end.
  • Usa misure difensive: Disconnetti i wallet, cancella le sessioni e utilizza strumenti CSP e di scansione della supply chain.

Conclusione

L’exploit della supply chain NPM dimostra come piccoli pacchetti di utilità possano rappresentare un rischio sistemico per gli utenti crypto abilitando la sostituzione silenziosa degli indirizzi. Mantieni una postura difensiva: smetti di firmare transazioni, controlla le dipendenze e segui gli avvisi verificati. COINOTAG aggiornerà questo report man mano che verranno pubblicati ulteriori dettagli tecnici confermati e soluzioni (pubblicato il 2025-09-08).

Nel caso te lo fossi perso: i flussi degli ETF Ethereum e l’open interest CME potrebbero segnalare una maturazione del mercato e una possibile ripresa della domanda
0
0

Esclusione di responsabilità: il contenuto di questo articolo riflette esclusivamente l’opinione dell’autore e non rappresenta in alcun modo la piattaforma. Questo articolo non deve essere utilizzato come riferimento per prendere decisioni di investimento.

PoolX: Blocca per guadagnare
Almeno il 12% di APR. Sempre disponibile, ottieni sempre un airdrop.
Blocca ora!

Ti potrebbe interessare anche

Il fossato delle public chain è solo 3 punti? Le dichiarazioni del fondatore di Alliance DAO scatenano un acceso dibattito nella comunità crypto

Invece di preoccuparsi delle "barriere protettive", forse dovremmo riflettere su come le criptovalute possano soddisfare in modo più rapido, economico e conveniente le reali esigenze di un numero maggiore di utenti di mercato.

Chaincatcher2025/12/12 16:10
Il fossato delle public chain è solo 3 punti? Le dichiarazioni del fondatore di Alliance DAO scatenano un acceso dibattito nella comunità crypto
Giochi di potere nella finanza digitale: svelata la strategia degli Stati Uniti sulle criptovalute

Glassnode: Consolidamento ribassista di Bitcoin, grande volatilità in arrivo?

Se iniziano a manifestarsi segnali di esaurimento dei venditori, nel breve termine rimane possibile una spinta verso i 95.000 dollari, ovvero il costo base dei detentori a breve termine.

BlockBeats2025/12/12 15:03
Glassnode: Consolidamento ribassista di Bitcoin, grande volatilità in arrivo?

Axe Compute (NASDAQ: AGPU) completa la ristrutturazione aziendale (precedentemente POAI), la potenza di calcolo GPU decentralizzata di livello enterprise di Aethir entra ufficialmente

Predictive Oncology ha annunciato oggi il suo rebranding ufficiale come Axe Compute e ha iniziato a essere quotata al Nasdaq con il simbolo AGPU. Questo rebranding segna la transizione di Axe Compute verso un’identità operativa aziendale, ufficializzando la commercializzazione della rete GPU decentralizzata di Aethir per offrire a livello globale alle imprese di AI servizi di potenza di calcolo sicuri e di livello enterprise.

BlockBeats2025/12/12 15:02
Axe Compute (NASDAQ: AGPU) completa la ristrutturazione aziendale (precedentemente POAI), la potenza di calcolo GPU decentralizzata di livello enterprise di Aethir entra ufficialmente

In tendenza

Altro
1

Il fossato delle public chain è solo 3 punti? Le dichiarazioni del fondatore di Alliance DAO scatenano un acceso dibattito nella comunità crypto

2

Giochi di potere nella finanza digitale: svelata la strategia degli Stati Uniti sulle criptovalute

Prezzi delle criptovalute

Altro
Bitcoin
Bitcoin
BTC
$89,982.59
+0.36%
Ethereum
Ethereum
ETH
$3,065.14
-3.41%
Tether USDt
Tether USDt
USDT
$1
-0.01%
BNB
BNB
BNB
$876.31
+1.12%
XRP
XRP
XRP
$1.99
-0.16%
USDC
USDC
USDC
$1
+0.05%
Solana
Solana
SOL
$132.24
+0.72%
TRON
TRON
TRX
$0.2754
-2.00%
Dogecoin
Dogecoin
DOGE
$0.1354
-1.24%
Cardano
Cardano
ADA
$0.4052
-1.98%
Come vendere PI
Bitget lista PI – Acquista o vendi PI rapidamente su Bitget!
Fai trading
Non sei ancora un Bitgetter?Un pacchetto di benvenuto del valore di 6.200 USDT per i nuovi utenti!
Iscriviti ora
A proposito di Bitget
A proposito di Bitget Contattaci Community Lavora con noi Bitget Blog Bitget Token (BGB) Centro annunci Proof of Reserves Fondo di Protezione Link reciproci Partnership con LALIGA Partnership con la MotoGP Blockchain4Youth Blockchain4Her Sitemap
Prodotti
Spot Futures Onchain Azioni Margine Earn Copy Trading Spot Copy Trading sui Futures Copy Trading Bot Bot API TraderPro Portafoglio OTC fiat Bitget Swap Centro App di Telegram Centro App Discord Catalogo di airdrop
Acquista crypto
Acquista crypto Acquista Bitcoin Acquista ETH Acquista DOGE Acquista XRP Acquista BGB Acquista SHIB Prezzo delle crypto Prezzo di Bitcoin Prezzo di Ethereum Grafico del prezzo di Solana Calcolatore ETF su Bitcoin Crypto Wiki Prezzo di XRP Prezzo di Pi Network Prezzo di ADA Prezzo di Solana Prezzo di Trump Coin Prezzo di Dogecoin Prezzo dei BRC-20
Supporto
Invia un feedback Centro assistenza Verifica i canali ufficiali Hub Anti-Truffa Richiesta di listing Servizi VIP Programma di Affiliazione Servizi istituzionali Custodia di asset Scarica i dati Promozioni Referral Tabella delle commissioni API per la dichiarazione dei redditi
Area legale
Richiesta delle forze dell'ordine Richiesta di regolamentazione Compliance Licenza normativa Politiche AML/CFT Informativa sulla privacy Condizioni di Utilizzo Divulgazione dei rischi
Scarica APP
© 2025 Bitget