Sàn giao dịch Tiền điện tử Gate không bị ảnh hưởng bởi cuộc tấn công lớn vào Chuỗi cung ứng NPM

Gate, một sàn giao dịch tiền điện tử dẫn đầu, đã xác nhận rằng dữ liệu khách hàng và tài sản của mình vẫn an toàn trong một trong những cuộc tấn công chuỗi cung ứng đáng kể nhất đã ảnh hưởng đến hệ sinh thái JavaScript trong lịch sử gần đây.

Trong một tuyên bố được phát hành trên mạng xã hội, Gate đảm bảo với người dùng rằng không có thiệt hại nào xảy ra với cơ sở dữ liệu của mình trong suốt vụ vi phạm, mà mục tiêu là các gói Node.js được sử dụng rộng rãi liên quan đến hàng tỷ lượt tải ứng dụng hàng tuần.

“Chúng tôi đã theo dõi chặt chẽ cuộc tấn công chuỗi cung ứng gần đây đã phát hành các phiên bản độc hại của một số gói JavaScript phổ biến,” sàn giao dịch cho biết. “Sau một cuộc điều tra kỹ lưỡng, chúng tôi có thể tự tin nói rằng hệ thống của chúng tôi không bị xâm phạm, và tất cả dữ liệu và tài sản của khách hàng vẫn an toàn. Mặc dù an ninh luôn là ưu tiên hàng đầu của chúng tôi, nhưng sự cố này là một lời nhắc nhở rõ ràng về tầm quan trọng sống còn của an ninh chuỗi cung ứng. Chúng tôi cam kết giữ cho người dùng của chúng tôi SAFU.”

Bình luận về cuộc tấn công chuỗi cung ứng qua mạng xã hội, một giám đốc cấp cao tại Gate nhận xét, “Cảnh quan an ninh đang phát triển nhanh chóng, ngay cả đối với phần mềm mã nguồn mở. Tương lai của Web3 có thể sẽ định nghĩa lại các tiêu chuẩn an ninh cho Web2. Chúng ta vẫn đang ở giai đoạn đầu của sự chuyển đổi này.”

Cuộc tấn công gói JavaScript gây lo ngại cho các nhà đầu tư tiền điện tử

Vào ngày 8 tháng 9, các hacker đã thực hiện một cuộc tấn công mà các chuyên gia bảo mật đang gọi là một trong những cuộc tấn công rộng rãi nhất trong lịch sử NPM. Sự cố này liên quan đến việc xâm phạm tài khoản của một người bảo trì mã nguồn mở đáng tin cậy được biết đến với tên gọi “qix,” sau này được xác định là Josh Junon.

Các kẻ tấn công đã sử dụng một kỹ thuật lừa đảo tinh vi, gửi một email giả mạo các thông tin liên lạc chính thức từ npmjs, kho lưu trữ chính cho các gói JavaScript. Thông điệp lừa đảo cảnh báo Junon rằng tài khoản của anh sẽ bị khóa vào ngày 10 tháng 9 năm 2025, trừ khi anh nhanh chóng cập nhật thông tin xác thực xác thực hai yếu tố của mình.

Email giả mạo đã nêu: “Nhằm nâng cao bảo mật tài khoản, chúng tôi yêu cầu tất cả người dùng cập nhật thông tin xác thực Xác thực Hai yếu tố (2FA) của họ. Hệ thống của chúng tôi cho biết đã hơn 12 tháng kể từ lần cập nhật 2FA cuối cùng của bạn.”

Junon sau đó xác nhận trên mạng xã hội rằng anh đã trở thành nạn nhân của âm mưu lừa đảo sau khi một người bảo trì khác phát hiện tài khoản NPM của anh “phát tán các gói với cửa hậu ẩn.” Sự cố này đã cho phép những kẻ tấn công chiếm đoạt tài khoản của anh và đẩy các bản cập nhật độc hại tới 18 thư viện Node.js phổ biến.

Các gói bị ảnh hưởng bao gồm những công cụ được sử dụng rộng rãi như chalk, debug, ansi-styles và strip-ansi, tất cả đều được tích hợp sâu vào hệ sinh thái web.

Mã độc nhắm vào giao dịch tiền điện tử

Phân tích của Aikido Security cho thấy những kẻ tấn công đã tiêm mã vào các gói bị xâm phạm, cho phép chúng hoạt động như những bộ giám sát dựa trên trình duyệt. Mã độc đã được chèn vào các tệp index.js, nơi nó có thể đánh cắp lưu lượng mạng và API ứng dụng trong bất kỳ phần mềm nào sử dụng các gói bị ảnh hưởng.

Mã độc được chèn vào được thiết kế để theo dõi các địa chỉ ví và giao dịch liên quan đến các tài sản kỹ thuật số lớn, bao gồm Bitcoin, Ethereum, Solana, Tron, Litecoin và Bitcoin Cash. Khi phát hiện, mã độc sẽ âm thầm thay thế địa chỉ ví đích mà nạn nhân dự định gửi tiền bằng một địa chỉ do kẻ tấn công kiểm soát, hiệu quả là chuyển hướng tiền mà không để nạn nhân nhận ra.

Một giám đốc điều hành cấp cao tại một nhà sản xuất ví phần cứng nổi bật cho biết rằng mã độc hại đã lan truyền đến các gói có hơn một tỷ lượt tải xuống, làm nổi bật quy mô tiềm năng của cuộc tấn công.

Mặc dù sự cố vi phạm rất rộng rãi, một công ty phân tích blockchain đã báo cáo vào tối thứ Hai rằng chỉ có $159 giá trị tiền điện tử đã bị đánh cắp cho đến nay. Các quỹ bị đánh cắp đã được truy vết đến các địa chỉ đã được xác định trước đó trong các thông báo ban đầu được chia sẻ bởi các đội ngũ an ninh.

Tuy nhiên, các nhà nghiên cứu cảnh báo rằng con số tương đối thấp này không nhất thiết chỉ ra thiệt hại tiềm tàng hạn chế, khi xem xét hàng tỷ lượt tải xuống liên quan đến các gói bị xâm phạm. Tác động đầy đủ của cuộc tấn công chuỗi cung ứng này có thể cần thời gian để đánh giá và giảm thiểu.

Khi ngành công nghiệp tiền điện tử tiếp tục đối mặt với những thách thức về an ninh đang phát triển, các sàn giao dịch như Gate vẫn giữ cảnh giác trong việc bảo vệ tài sản và dữ liệu của người dùng khỏi những mối đe dọa mạng ngày càng tinh vi.