CTO của Ledger cảnh báo người dùng ví sau vụ hack tài khoản NPM

• Một cuộc tấn công lớn đã nhắm vào các công cụ JavaScript được hàng triệu người sử dụng trên các nền tảng crypto.
• CTO của Ledger khuyên người dùng kiểm tra mọi giao dịch và tránh ký mù quáng.
• Các nhà phát triển được yêu cầu bảo mật các gói và dừng cập nhật tự động cho đến khi hoàn tất sửa lỗi.

Một cuộc tấn công chuỗi cung ứng quy mô lớn vào hệ sinh thái JavaScript đã làm rung chuyển ngành công nghiệp crypto, phơi bày sự phụ thuộc mong manh trên toàn bộ hạ tầng. Vào ngày 8 tháng 9 năm 2025, Giám đốc Công nghệ của Ledger, Charles Guillemet, xác nhận rằng những kẻ tấn công đã xâm nhập vào tài khoản NPM (Node Package Manager) của một nhà phát triển uy tín. Tài khoản bị xâm nhập này cho phép hacker tiêm phần mềm độc hại “crypto-clipper” vào các gói JavaScript được sử dụng rộng rãi. 

Các thư viện bị nhiễm, bao gồm chalk, debug, strip-ansi và color-convert, tổng cộng đã có hơn 1 tỷ lượt tải xuống, cho thấy quy mô phơi nhiễm khổng lồ. Theo Guillemet, mã độc này âm thầm thay đổi địa chỉ ví crypto trong quá trình giao dịch, gửi tiền đến các tài khoản do kẻ tấn công kiểm soát. Điều này có nghĩa là người dùng không nghi ngờ gì vẫn hoàn thành giao dịch với niềm tin hợp lệ trong khi vô tình mất tài sản.

Các công cụ bị ảnh hưởng không hề xa lạ. Các thư viện như Chalk và Debug hỗ trợ vô số ứng dụng phi tập trung và nền tảng crypto, do đó, liên quan mật thiết đến hoạt động hàng ngày của hệ sinh thái. Việc một thư viện bị xâm nhập cho thấy chỉ một lỗ hổng có thể nhanh chóng ảnh hưởng đến hàng triệu ví và ứng dụng.

Cảnh báo khẩn cấp từ CTO Ledger

Guillemet không nêu tên nhà phát triển có tài khoản bị xâm nhập. Tuy nhiên, ông nhấn mạnh rằng mối đe dọa này rất rộng lớn. “Đây là một cuộc tấn công chuỗi cung ứng quy mô lớn. Toàn bộ hệ sinh thái JavaScript có thể bị ảnh hưởng,” ông viết trong cảnh báo chính thức.

Ông nhấn mạnh tầm quan trọng của việc sử dụng ví phần cứng với màn hình bảo mật hỗ trợ Clear Signing. “Cách duy nhất chắc chắn để chống lại điều này là sử dụng ví phần cứng với màn hình bảo mật hỗ trợ clear signing,” ông nói. “Điều này sẽ cho phép người dùng nhìn thấy chính xác địa chỉ mà tiền được gửi đến và đảm bảo chúng khớp với địa chỉ dự định.”

Ông tiếp tục, “Ví phần cứng không có màn hình bảo mật và bất kỳ ví nào không hỗ trợ clear signing đều có nguy cơ cao, vì không thể xác minh chính xác chi tiết giao dịch có đúng hay không.”

Cuối cùng, ông đưa ra lời nhắc rộng rãi: “Đây là cơ hội để nhắc nhở mọi người: luôn xác minh giao dịch của bạn, không bao giờ ký mù quáng, sử dụng ví phần cứng có màn hình bảo mật và luôn Clear Sign mọi thứ.”

Phản ứng từ các nhà phát triển và tác động rộng lớn

Sau khi thông tin được tiết lộ, các nhà phát triển đã được khuyến nghị khóa phiên bản an toàn của các phụ thuộc, bảo mật lockfile và tạm dừng cập nhật tự động các gói cho đến khi có thông báo mới. Các biện pháp phòng ngừa này nhằm hạn chế thiệt hại trong khi các cuộc kiểm toán và làm sạch được tiến hành trên toàn hệ sinh thái. Các nhân vật nổi bật trong cộng đồng phát triển crypto cũng khuyên người dùng tránh tương tác với các trang web crypto cho đến khi các lỗ hổng được khắc phục.

Liên quan: Ripple Developers Defend XRP Ledger Amid Kaiko Assessment

Sự kiện này cho thấy ngay cả các nhà cung cấp ví quan trọng như Ledger cũng phụ thuộc vào các lớp phần mềm ngoài tầm kiểm soát trực tiếp của họ. Nếu các lớp này bị xâm nhập, tác động có thể rất tàn khốc. Hàng triệu người dùng và giá trị số hóa lên tới hàng tỷ có thể gặp rủi ro chỉ trong vài giờ.

Cập nhật về cuộc tấn công NPM

Theo cập nhật mới nhất từ Guillemet, cuộc tấn công đã thất bại và gần như không có nạn nhân nào. Nó bắt đầu bằng một email phishing từ một tên miền hỗ trợ npm giả mạo đánh cắp thông tin đăng nhập, cho phép kẻ tấn công xuất bản các bản cập nhật gói độc hại. Mã được tiêm nhắm vào hoạt động crypto trên web, can thiệp vào Ethereum, Solana và các chuỗi khác để chiếm đoạt giao dịch bằng cách thay thế địa chỉ ví trực tiếp trong phản hồi mạng. Tuy nhiên, những sai lầm của kẻ tấn công đã gây ra sự cố trong các pipeline CI/CD, dẫn đến việc phát hiện sớm và hạn chế tác động.

Guillemet nhấn mạnh rằng nếu tiền của bạn nằm trong ví phần mềm hoặc trên sàn giao dịch, bạn chỉ cách mất tất cả một lần thực thi mã. Các cuộc tấn công chuỗi cung ứng vẫn là một kênh phát tán phần mềm độc hại mạnh mẽ, và các cuộc tấn công có chủ đích đang gia tăng. Ông cũng nhấn mạnh rằng ví phần cứng được xây dựng để chống lại các mối đe dọa này. Các tính năng như Clear Signing cho phép bạn xác nhận chính xác những gì đang xảy ra, và Transaction Checks sẽ cảnh báo hoạt động đáng ngờ trước khi quá muộn.

Bài viết Ledger CTO Warns Wallet Holders After NPM Account Hack xuất hiện đầu tiên trên Cryptotale.