Attacco NPM finito, dopo il panico: “Quasi nessuna vittima”
Di Daniele Corno
Dopo il primo annuncio di ieri, Charles Guillemet, CTO di ledger conferma: Attacco NPM concluso, quasi nessuna vittima
Cos'è successo ieri?
A seguito di un hack i cui danni sarebbero potuti essere enormi, è ora di fare i conti con l’accaduto, una volta che il tentativo di attacco è caduto. Iniziamo annunciando che l’attacco è cessato con un danno quasi nullo, ma prima di approfondire la conclusione dell’accaduto, osserviamone le dinamiche.
L’allarme è scattato con un attacco alla supply chain di NPM, il principale gestore di pacchetti JavaScript. Nella giornata di ieri, un gruppo di attaccanti ha violato le credenziali di uno sviluppatore e pubblicato aggiornamenti malevoli in alcuni pacchetti, progettati per intercettare transazioni on-chain.
Nello specifico, il codice sostituiva gli indirizzi di destinazioni delle transazioni su blokchain come Ethereum, Solana e numerose altre reti, modificando i destinatari reali con indirizzi di proprietà del gruppo hacker non identificato. Condiviso da Charles Guillemet, CTO di ledger, l’entità del danno potenziale sarebbe stata enorme.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
The malicious payload works…
— Charles Guillemet (@P3b7_) September 8, 2025
Questi pacchetti contaminati infatti, sono stati scaricati miliardi di volte, rendendo vulnerabili migliaia di applicazioni che includevano alcune di queste librerie. Senza entrare nel tecnico, per fortuna la violazione è stata notata rapidamente e successivamente fixata, risolvendo così la pericolosità di questo attacco.
Riflessioni
Se non fosse stato bloccato in tempo, l’attacco avrebbe potuto trasformarsi in uno degli incidenti più gravi mai registrati nel mondo crypto.
Un singolo pacchetto compromesso in NPM, infatti, può finire in migliaia di applicazioni e aggiornamenti automatici, aprendo la strada a un effetto domino devastante. Minaccia che tuttavia, per fortuna si è risolta con un nulla di fatto. Il bottino complessivo, come riportato dai dati raccolti da Arkham, è stato di soli $500 dollari.
Team come MetaMask, Phantom, Uniswap e Aave hanno confermato di non essere stati colpiti, grazie a procedure di sicurezza che impediscono modifiche sospette.
Una vicenda che dimostra si notevoli vulnerabilità dell’open source ma che allo stesso tempo, dimostra di come la trasparenza possa diventare una forte arma di difesa.
Seguici sui nostri canali YouTube e Telegram: troverai tanti altri aggiornamenti, tutorial e approfondimenti per essere sempre sul pezzo!
