Attualmente c'è un attacco su larga scala alla catena di approvvigionamento che prende di mira l'ecosistema JavaScript. L'account NPM di uno sviluppatore rispettabile è stato compromesso, consentendo l'inserimento di codice malevolo nei pacchetti che sono già stati scaricati oltre 1 miliardo di volte. Ciò significa che innumerevoli applicazioni e progetti possono essere colpiti.
Il codice malevolo funziona sostituendo silenziosamente gli indirizzi dei portafogli crypto durante le transazioni per rubare fondi. Gli utenti di portafogli hardware rimangono al sicuro finché verificano attentamente l'indirizzo prima di firmare ogni transazione. Tuttavia, agli utenti di portafogli software si consiglia vivamente di evitare di effettuare transazioni on-chain per ora per ridurre il rischio.
In breve: questo è uno degli attacchi più pericolosi perché origina dallo strato di infrastruttura (pacchetti NPM) e può diffondersi attraverso milioni di progetti. Gli utenti crypto dovrebbero rimanere estremamente vigili, controllare due volte ogni transazione e ridurre l'attività fino a quando non viene fornita maggiore chiarezza.