Un attacco senza precedenti ha scosso il mondo crypto. In poche ore, decine di librerie NPM sono state compromesse e il malware inserito al loro interno era in grado di modificare gli indirizzi delle transazioni onchain, reindirizzando i fondi degli utenti verso wallet controllati dagli hacker.
L’allarme è stato lanciato da Charles Guillemet, CTO di Ledger, che in un post su X ha descritto l’operazione come “una delle più ampie e pericolose mai viste nella supply chain del software open source”.
Cos’è successo: l’attacco alla supply chain
L’attacco non ha colpito direttamente i singoli utenti, ma ha sfruttato una dinamica ben nota nel mondo della cybersicurezza: la supply chain del software. In altre parole, i criminali non hanno attaccato i wallet uno per uno, ma hanno compromesso librerie di codice usate da migliaia di applicazioni, riuscendo così a inserirsi a monte nel flusso di sviluppo.
Secondo quanto emerso, un noto sviluppatore NPM avrebbe subito l’hack del proprio account. Da lì, gli aggressori sono riusciti a pubblicare versioni modificate di diverse librerie, contenenti codice malevolo. Lo scopo era semplice quanto devastante: sostituire gli indirizzi di destinazione delle transazioni con altri sotto il controllo degli hacker.
Il malware, quindi, non rubava direttamente i dati di accesso, ma manipolava il flusso della transazione, un attacco tanto subdolo quanto efficace.
Le cifre raccontano la gravità della situazione: le librerie compromesse sarebbero state scaricate oltre un miliardo di volte. Un numero impressionante, che testimonia la loro diffusione in applicazioni e tool utilizzati in tutto l’ecosistema crypto.
Attacchi di questo tipo non sono nuovi: in passato si sono registrati casi simili, ma mai su questa scala e con conseguenze potenzialmente così gravi. Se un’app o un software ha integrato le librerie compromesse durante la finestra di tempo in cui erano disponibili, c’è la possibilità che milioni di transazioni siano state a rischio di dirottamento.
Il punto critico è che gli utenti finali non hanno modo immediato di sapere se un’app che utilizzano abitualmente abbia aggiornato quelle librerie. Questo crea un problema di fiducia enorme nell’intero ecosistema.
La reazione di NPM e la conferma di Ledger
Dopo la segnalazione, NPM è intervenuta rapidamente disabilitando i pacchetti compromessi e sospendendo i progetti colpiti. Lo stesso sviluppatore che ha subito l’attacco ha confermato la compromissione, collaborando con la community per individuare le versioni infette.
Ledger ha ribadito la pericolosità dell’accaduto, sottolineando che episodi simili “mettono in luce la fragilità del software open source e la necessità di verificare ogni passaggio nella catena di sviluppo”.
La vicenda ha riacceso il dibattito su quanto l’intero mondo blockchain e Web3 dipenda da infrastrutture esterne, spesso mantenute da piccoli team di sviluppatori indipendenti, vulnerabili ad attacchi mirati.
Cosa rischiano gli utenti e come proteggersi
Il malware era progettato per sostituire gli indirizzi di destinazione delle transazioni. Ciò significa che un utente poteva inviare fondi convinto di trasferirli al proprio wallet o a un exchange, mentre in realtà li stava inviando al portafoglio dell’attaccante.
In pratica, ogni transazione era potenzialmente a rischio, e i danni avrebbero potuto essere incalcolabili se l’attacco non fosse stato scoperto rapidamente.
Il pericolo maggiore riguarda chi ha utilizzato nelle ultime ore applicazioni basate sulle librerie compromesse, in particolare wallet software o servizi DeFi aggiornati in automatico.
Gli esperti consigliano alcuni passaggi immediati:
Controllare attentamente ogni indirizzo di destinazione prima di confermare una transazione. Anche un piccolo dettaglio può rivelare un indirizzo manipolato.
Aggiornare wallet e applicazioni non appena i team di sviluppo rilasciano patch ufficiali.
Evitare di scaricare librerie o aggiornamenti non verificati e preferire sempre fonti ufficiali.
Per chi gestisce somme elevate, utilizzare hardware wallet che consentono di visualizzare e confermare l’indirizzo finale sul display del dispositivo, riducendo il rischio di manipolazioni software.
Ledger e altri operatori raccomandano inoltre di seguire i canali ufficiali dei progetti utilizzati, per restare aggiornati in tempo reale su eventuali compromissioni.
L’attacco NPM rappresenta un campanello d’allarme fortissimo per tutto il settore crypto. Non è più sufficiente proteggere le chiavi private: bisogna garantire la sicurezza dell’intera filiera del software che utilizziamo ogni giorno.
E mentre le aziende corrono ai ripari, gli utenti devono adottare un atteggiamento ancora più prudente, verificando ogni dettaglio delle loro transazioni.
Perché, in un mondo decentralizzato, la responsabilità ultima resta sempre nelle mani di chi invia i fondi.