Ibahagi ang artikulong ito
Nagbabala ang Ledger CTO tungkol sa Pag-atake ng Supply-Chain ng NPM sa 1B+ Downloads
Ayon kay Guillemet, ang malisyosong code — naipasok na sa mga pakete na may mahigit 1 bilyong pag-download — ay idinisenyo upang tahimik na magpalit ng mga address ng Crypto wallet sa mga transaksyon. Nangangahulugan iyon na ang mga hindi pinaghihinalaang gumagamit ay maaaring direktang magpadala ng mga pondo sa umaatake nang hindi namamalayan.
Set 8, 2025, 7:29 p.m. Isinalin ng AI
Ano ang dapat malaman:
- Charles Guillemet, punong opisyal ng Technology sa hardware wallet Maker Ledger, nagbabala sa X noong Lunes na ang isang malakihang pag-atake sa supply chain ay isinasagawa pagkatapos ng kompromiso ng Node Package Manager (NPM) account ng isang kilalang developer.
- Ayon kay Guillemet, ang malisyosong code — naipasok na sa mga pakete na may mahigit 1 bilyong pag-download — ay idinisenyo upang tahimik na magpalit ng mga address ng Crypto wallet sa mga transaksyon. Nangangahulugan iyon na ang mga hindi pinaghihinalaang gumagamit ay maaaring direktang magpadala ng mga pondo sa umaatake nang hindi namamalayan.
Charles Guillemet, punong opisyal ng Technology sa hardware wallet Maker Ledger, nagbabala sa X noong Lunes na ang isang malakihang pag-atake sa supply chain ay isinasagawa pagkatapos ng kompromiso ng Node Package Manager (NPM) account ng isang kilalang developer.
Ayon kay Guillemet, ang malisyosong code — naipasok na sa mga pakete na may mahigit 1 bilyong pag-download — ay idinisenyo upang tahimik na magpalit ng mga address ng Crypto wallet sa mga transaksyon. Nangangahulugan iyon na ang mga hindi pinaghihinalaang gumagamit ay maaaring direktang magpadala ng mga pondo sa umaatake nang hindi namamalayan.
Ipagpatuloy Ang Kwento Sa Baba
Huwag palampasin ang isa pang kuwento.Mag-subscribe sa The Protocol Newsletter ngayon. Tingnan lahat ng newsletter
Hindi pinangalanan ni Guillemet ang developer na sinabi niyang nakompromiso ang account.
Binibigyang-diin ng insidente kung gaano kalalim ang interconnected na open-source na software at kung bakit ang mga pagkukulang ng seguridad sa mga tool ng developer ay maaaring mag-ripple sa Crypto economy halos kaagad.
Loading...
"Ang NPM ay isang tool na karaniwang ginagamit sa pagbuo ng software gamit ang JavaScript, na ginagawang madali ang pagsasama ng mga package para sa mga developer," sabi ni Guillemet sa isang mensahe sa CoinDesk. Kapag nakompromiso ng isang attacker ang account ng developer, maaari silang maglagay ng malisyosong code sa mga package na malawakang ginagamit.
"Ang malisyosong code ay sumusubok na maubos ang mga user sa pamamagitan ng pagpapalit ng mga address na ginagamit sa transaksyon o pangkalahatang on-chain na aktibidad at pagpapalit sa kanila ng address ng hacker," dagdag ni Guillemet.
Binigyang-diin ni Guillemet na kung ang anumang desentralisadong aplikasyon o software wallet sa anumang blockchain ay kasama ang mga JavaScript package na ito, maaari silang makompromiso, at ang mga gumagamit ng Crypto ay maaaring mawalan ng kanilang mga pondo.
"Ang tanging siguradong paraan upang labanan ito ay ang paggamit ng hardware wallet na may secure na screen na sumusuporta sa Clear Signing," sabi ni Guillemet sa CoinDesk. "Ito ay magbibigay-daan sa user na makita kung aling mga address ang ipinapadala ng mga pondo at matiyak na tumutugma ang mga ito sa nilalayong mga address."
"Ang mga wallet ng hardware na walang mga secure na screen at anumang pitaka na T sumusuporta sa Clear signing ay nasa mataas na panganib dahil imposibleng tumpak na ma-verify na tama ang mga detalye ng transaksyon," dagdag niya.
"Ito ay isang pagkakataon upang paalalahanan ang lahat: palaging i-verify ang iyong mga transaksyon, huwag mag-blind sign, gumamit ng hardware wallet na may secure na screen, at Clear Sign lahat," sabi ni Guillemet.
Read More: Tinutugunan ng Ledger CTO ang Kritiko sa Serbisyo sa Pagbawi ng Bagong Wallet
AI Disclaimer: Ang mga bahagi ng artikulong ito ay nabuo sa tulong ng mga tool ng AI at sinuri ng aming editorial team upang matiyak ang katumpakan at pagsunod sa aming mga pamantayan. Para sa karagdagang impormasyon, tingnan Ang buong Patakaran sa AI ng CoinDesk.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Ang Drift ni Solana ay Naglulunsad ng v3, Na May 10x Mas Mabilis na Mga Trade
Sa v3, sinabi ng koponan na humigit-kumulang 85% ng mga order sa merkado ang mapupuno sa ilalim ng kalahating segundo, at ang pagkatubig ay lalalim nang sapat upang magdala ng pagdulas sa mas malalaking trade pababa sa humigit-kumulang 0.02%.
What to know:
- Ang Drift, ONE sa pinakamalaking panghabang-buhay na platform ng kalakalan sa Solana, ay naglunsad ng Drift v3, isang pangunahing pag-upgrade na nilalayong gawin ang on-chain trading na pakiramdam na kasing bilis at kasinsay ng paggamit ng sentralisadong palitan.
- Ang bagong bersyon ay maghahatid ng 10-beses na mas mabilis na pagpapatupad ng kalakalan salamat sa isang itinayong muli na backend, na minarkahan ang pinakamalaking performance jump na nagawa ng proyekto sa ngayon.
Top Stories
