🚨 URGENT: La plus grande attaque de chaîne d'approvisionnement NPM jamais réalisée – Des milliards de téléchargements compromis 🚨
Dans une violation sans précédent, des hackers ont détourné des paquets NPM populaires, impactant plus de 2,6 milliards de téléchargements hebdomadaires. L'attaque, initiée par une campagne de phishing ciblant le compte d'un mainteneur, a conduit à l'injection de logiciels malveillants conçus pour échanger des adresses de portefeuille dans le navigateur à travers plusieurs blockchains, y compris $BTC, $ETH, $SOL, $TRX, $LTC, et $BCH.
Ce logiciel malveillant fonctionne en modifiant silencieusement les adresses de portefeuille pendant les transactions, redirigeant les fonds vers les portefeuilles de l'attaquant sans que l'utilisateur ne s'en rende compte. Les paquets compromis incluent des bibliothèques largement utilisées telles que chalk, debug, ansi-styles, et Nx.
⚠️ Actions immédiates recommandées :
▪️Utilisez un portefeuille matériel pour toutes les transactions.
▪️Vérifiez chaque transaction en vérifiant deux fois les adresses de portefeuille.
▪️Évitez l'activité sur la chaîne si vous utilisez des portefeuilles web jusqu'à nouvel ordre.
▪️Mettez à jour vos dépendances de développement pour supprimer tous les paquets compromis.
Cette attaque souligne le besoin critique de vigilance dans la chaîne d'approvisionnement logicielle, en particulier concernant les dépendances qui interagissent avec les transactions de cryptomonnaie. Restez informé et sécurisez vos actifs.
