Il CTO di Ledger avverte i possessori di wallet dopo l’hack dell’account NPM

• Un grande attacco ha colpito strumenti JavaScript utilizzati da milioni di utenti su piattaforme crypto.
• Il CTO di Ledger ha consigliato agli utenti di controllare ogni transazione e di evitare la firma cieca.
• Agli sviluppatori è stato detto di mettere in sicurezza i pacchetti e di interrompere gli aggiornamenti automatici fino al completamento delle correzioni.

Un vasto attacco alla supply chain nell’ecosistema JavaScript ha scosso l’industria crypto, esponendo la fragilità delle dipendenze infrastrutturali. L’8 settembre 2025, il Chief Technology Officer di Ledger, Charles Guillemet, ha confermato che gli aggressori sono riusciti a violare l’account NPM (Node Package Manager) di uno sviluppatore affidabile. L’account compromesso ha permesso agli hacker di iniettare malware “crypto-clipper” in pacchetti JavaScript ampiamente utilizzati. 

Queste librerie infette, tra cui chalk, debug, strip-ansi e color-convert, rappresentano collettivamente più di 1 miliardo di download, mostrando l’enorme portata dell’esposizione. Secondo Guillemet, il codice malevolo sostituisce silenziosamente gli indirizzi dei wallet crypto durante le transazioni, inviando i fondi a conti controllati dagli aggressori. Questo significa che utenti ignari possono completare transazioni credendole legittime mentre, inconsapevolmente, perdono i propri asset.

Gli strumenti colpiti non erano affatto oscuri. Librerie come Chalk e Debug supportano numerose applicazioni decentralizzate e piattaforme crypto e sono quindi strettamente coinvolte nel funzionamento quotidiano dell’ecosistema. Una violazione di queste librerie ha segnalato che una sola compromissione può rapidamente influenzare milioni di wallet e applicazioni.

Avvisi urgenti dal CTO di Ledger

Guillemet non ha nominato lo sviluppatore il cui account è stato compromesso. Tuttavia, ha chiarito che la minaccia è estesa. “Questo è un attacco alla supply chain su larga scala. L’intero ecosistema JavaScript potrebbe essere interessato,” ha scritto nel suo avviso ufficiale.

Ha sottolineato l’importanza di utilizzare hardware wallet con schermi sicuri che supportano la Clear Signing. “L’unico modo sicuro per contrastare questo è utilizzare un hardware wallet con uno schermo sicuro che supporti la clear signing,” ha detto. “Questo permetterà all’utente di vedere esattamente a quali indirizzi vengono inviati i fondi e assicurarsi che corrispondano a quelli desiderati.”

Ha continuato: “Gli hardware wallet senza schermi sicuri e qualsiasi wallet che non supporta la clear signing sono ad alto rischio, poiché è impossibile verificare accuratamente che i dettagli della transazione siano corretti.”

Infine, ha ricordato a tutti: “È un’occasione per ricordare a tutti: verificate sempre le vostre transazioni, non firmate mai alla cieca, usate un hardware wallet con schermo sicuro e firmate tutto in modalità Clear Sign.”

Risposta degli sviluppatori e implicazioni più ampie

A seguito della divulgazione, agli sviluppatori è stato consigliato di fissare versioni sicure delle dipendenze, mettere in sicurezza i lockfile e sospendere l’aggiornamento automatico dei pacchetti fino a nuovo avviso. Queste precauzioni sono intese a contenere i danni mentre vengono effettuati audit e pulizie in tutto l’ecosistema. Figure di spicco della comunità degli sviluppatori crypto hanno inoltre consigliato agli utenti di evitare di interagire con siti web crypto fino alla risoluzione delle vulnerabilità.

Correlato: Gli sviluppatori di Ripple difendono XRP Ledger dopo la valutazione di Kaiko

Questo evento ha evidenziato che anche fornitori di wallet critici come Ledger dipendono da livelli software al di fuori del loro controllo diretto. Se tali livelli vengono compromessi, l’impatto risultante può essere devastante. Milioni di utenti e valori digitali per miliardi potrebbero essere a rischio nel giro di poche ore.

Aggiornamento sull’attacco NPM

Secondo l’ultimo aggiornamento di Guillemet, l’attacco è fallito e ha avuto quasi nessuna vittima. È iniziato con una email di phishing da un falso dominio di supporto npm che ha rubato le credenziali, dando agli aggressori accesso per pubblicare aggiornamenti malevoli dei pacchetti. Il codice iniettato prendeva di mira l’attività crypto sul web, agganciandosi a Ethereum, Solana e altre chain per dirottare le transazioni sostituendo direttamente gli indirizzi dei wallet nelle risposte di rete. Tuttavia, gli errori degli aggressori hanno causato crash nelle pipeline CI/CD, portando a una rilevazione precoce e limitando l’impatto.

Guillemet ha sottolineato che se i vostri fondi sono in un software wallet o su un exchange, siete a una sola esecuzione di codice dal perdere tutto. Le compromissioni della supply chain restano un vettore potente per la diffusione di malware e gli attacchi mirati sono in aumento. Ha inoltre evidenziato che gli hardware wallet sono progettati per resistere a queste minacce. Funzionalità come la Clear Signing permettono di confermare esattamente cosa sta accadendo e i Transaction Checks segnalano attività sospette prima che sia troppo tardi.

L’articolo Ledger CTO avverte i possessori di wallet dopo l’hack dell’account NPM è apparso per la prima volta su Cryptotale.