Bitget App
Mag-trade nang mas matalino
Buy cryptoMarketsTradeFuturesEarnWeb3SquareMore
Trade
Spot
Mag Buy and Sell ng crypto nang madali
Margin
Amplify your capital and maximize fund efficiency
Onchain
Going Onchain, Without Going Onchain
Convert & block trade
I-convert ang crypto sa isang click at walang bayad
Explore
Launchhub
Makuha ang gilid nang maaga at magsimulang manalo
Copy
Kopyahin ang elite trader sa isang click
Bots
Simple, mabilis, at maaasahang AI trading bot
Trade
USDT-M Futures
Futures settled in USDT
USDC-M Futures
Futures settled in USDC
Coin-M Futures
Futures settled in cryptocurrencies
Explore
Futures guide
Isang beginner-to-advanced na paglalakbay sa futures trading
Futures promotions
Generous rewards await
Overview
Iba't ibang produkto para mapalago ang iyong mga asset
Simple Earn
Magdeposito at mag-withdraw anumang oras para makakuha ng mga flexible return na walang panganib
On-chain Earn
Kumita ng kita araw-araw nang hindi nanganganib ang prinsipal
Structured na Kumita
Matatag na pagbabago sa pananalapi upang i-navigate ang mga market swing
VIP and Wealth Management
Mga premium na serbisyo para sa matalinong pamamahala ng kayamanan
Loans
Flexible na paghiram na may mataas na seguridad sa pondo
Bitget
Balita
Sinabi ng CTO ng Ledger na ang NPM Supply-Chain Compromise ay Maaaring Maglantad ng Crypto Funds sa Address-Swapping Malware

Sinabi ng CTO ng Ledger na ang NPM Supply-Chain Compromise ay Maaaring Maglantad ng Crypto Funds sa Address-Swapping Malware

CoinotagCoinotag2025/09/08 21:25
Ipakita ang orihinal
By:Marisol Navaro








Ang NPM supply chain exploit ay isang malawakang kompromiso ng mga kagalang-galang na JavaScript packages na maaaring tahimik na magpalit ng crypto address habang isinasagawa ang mga transaksyon at magnakaw ng pondo. Dapat iwasan ng mga user ang pagpirma ng mga transaksyon, suriin ang mga integrated packages, at agad na i-update o alisin ang mga apektadong module upang mabawasan ang panganib.

  • Ang malisyosong pagpapalit ng address sa mga web wallet ay tumatarget sa mga crypto transaction.

  • Kabilang sa mga nakompromisong package ang malawakang ginagamit na NPM modules gaya ng “color-name” at “color-string.”

  • Ang mga apektadong package ay na-download na ng mahigit 1 bilyong beses, na nagpapataas ng cross-chain exposure.

NPM supply chain exploit: ITIGIL ang pagpirma ng mga transaksyon ngayon—suriin ang mga package at siguraduhin ang seguridad ng mga wallet. Alamin ang mga agarang hakbang para sa proteksyon.

Ano ang NPM supply chain exploit?

Ang NPM supply chain exploit ay isang kompromiso ng mga kagalang-galang na developer account na nag-iinject ng malisyosong payload sa mga JavaScript package. Ang payload ay maaaring tahimik na magpalit ng cryptocurrency address sa mga web-based wallet at dApps, na naglalagay sa panganib ng mga pondo sa maraming chain.

Paano nakompromiso ang mga JavaScript package?

Iniulat ng mga security researcher at eksperto sa industriya na ang isang kagalang-galang na developer account sa NPM ay nabreach, na nagbigay-daan sa mga umaatake na mag-publish ng mga kontaminadong update. Ang malisyosong code ay dinisenyo upang tumakbo sa browser context na ginagamit ng mga crypto website at maaaring magpalit ng destinasyon ng address sa oras ng transaksyon.


Aling mga package at component ang apektado?

Natukoy ng mga blockchain security firm ang humigit-kumulang dalawang dosenang popular na NPM package na apektado, kabilang ang maliliit na utility module gaya ng “color-name” at “color-string.” Dahil ang NPM ay isang sentral na package manager para sa JavaScript, maraming website at front-end project ang gumagamit ng mga dependency na ito nang hindi direkta.

Buod ng naiulat na panganib ayon sa package Package Reported Downloads Risk Level
color-name Hundreds of millions Mataas
color-string Hundreds of millions Mataas
Iba pang utility modules (kolektibo) 1+ billion combined Kritikal

Paano mapoprotektahan ng mga crypto user ang kanilang pondo ngayon?

Agarang hakbang: itigil ang pagpirma ng mga transaksyon sa web wallet, idiskonekta ang browser wallet mula sa mga dApp, at iwasan ang pakikipag-ugnayan sa mga site na umaasa sa hindi beripikadong JavaScript. I-validate ang integridad ng package sa development environment at magpatupad ng mahigpit na Content Security Policy (CSP) rules sa mga site na iyong kontrolado.

Anong mga pag-iingat ang dapat gawin ng mga developer?

Dapat i-pin ng mga developer ang mga bersyon ng dependency, beripikahin ang mga pirma ng package kung available, gumamit ng supply chain scanning tools, at suriin ang mga kamakailang update ng package. Ang pagbabalik sa mga kilalang-mabuting bersyon at muling pagbuo mula sa lockfiles ay maaaring magpababa ng panganib. Gumamit ng reproducible builds at independent verification para sa mga kritikal na front-end library.



Mga Madalas Itanong

Gaano kaagad ang banta sa mga ordinaryong crypto user?

Ang banta ay agarang para sa mga user na nakikipag-ugnayan sa web-based wallet o dApp na naglo-load ng JavaScript mula sa public packages. Kung ang isang site ay umaasa sa mga kontaminadong module, maaaring tumakbo ang address-swapping code sa browser habang isinasagawa ang transaksyon.

Sino ang nakatuklas ng kompromiso at ano ang kanilang sinabi?

Ang CTO ng Ledger na si Charles Guillemet ay hayagang nagbabala tungkol sa isyu, binigyang-diin ang lawak at mekanismo ng address swapping. Iniulat din ng mga blockchain security firm ang mga apektadong module. Ang mga obserbasyong ito ay mula sa mga pampublikong post at security advisories na iniulat ng mga eksperto sa industriya.

Mahahalagang Punto

  • Itigil ang pagpirma ng mga transaksyon: Iwasan ang pagpirma sa web wallet hangga't hindi nabiberipika ang mga package.
  • Suriin ang mga dependency: Dapat i-pin, pirmahan, at i-scan ng mga developer ang mga NPM package na ginagamit sa front-end code.
  • Gumamit ng mga depensibong hakbang: Idiskonekta ang mga wallet, i-clear ang mga session, at gumamit ng CSP at supply-chain scanning tools.

Konklusyon

Ipinapakita ng NPM supply chain exploit kung paano ang maliliit na utility package ay maaaring magdulot ng sistemikong panganib sa mga crypto user sa pamamagitan ng tahimik na pagpapalit ng address. Panatilihin ang depensibong postura: itigil ang pagpirma ng mga transaksyon, suriin ang mga dependency, at sundin ang mga beripikadong advisory. Iu-update ng COINOTAG ang ulat na ito habang mas maraming kumpirmadong teknikal na detalye at remediation ang nailalathala (published 2025-09-08).

In Case You Missed It: Ethereum ETF Flows and CME Open Interest Could Signal Market Maturation and Potential Demand Revival
0

Disclaimer: Ang nilalaman ng artikulong ito ay sumasalamin lamang sa opinyon ng author at hindi kumakatawan sa platform sa anumang kapasidad. Ang artikulong ito ay hindi nilayon na magsilbi bilang isang sanggunian para sa paggawa ng mga desisyon sa investment.

PoolX: Naka-lock para sa mga bagong token.
Hanggang 12%. Palaging naka-on, laging may airdrop.
Mag Locked na ngayon!

Baka magustuhan mo rin

Malaking Linggo ng Bitcoin: Hype sa Pagbaba ng Fed Rate kasabay ng Bagong Anunsyo ng BTC Treasury

Ang pagsasanib ng Asset Entities at Strive ay naghahanda para sa $1.5 billions na pagbili ng Bitcoin, habang ang inaasahang pagbaba ng rate ng Fed ay maaaring magdala ng malalaking inflows.

Coinspeaker2025/09/10 13:53
Inuulit ng Ethereum ang 2020 breakout setup na nagpapalakas ng malalaking inaasahan para sa rally

Ang yunit ng KindlyMD ay nag-commit ng $30 milyon sa Bitcoin-focused equity raise ng Metaplanet

Sinabi ng Nakamoto na naglaan ito ng hanggang $30 milyon upang lumahok sa global equity offering ng Metaplanet. Ayon sa Nakamoto, ito ang pinakamalaking solong investment nito hanggang ngayon.

The Block2025/09/10 12:53
Ang yunit ng KindlyMD ay nag-commit ng $30 milyon sa Bitcoin-focused equity raise ng Metaplanet

Trending na balita

Higit pa
1

Dapat umabot ang Bitcoin sa $104K upang maulit ang mga nakaraang bull market dips: Pananaliksik

2

Malaking Linggo ng Bitcoin: Hype sa Pagbaba ng Fed Rate kasabay ng Bagong Anunsyo ng BTC Treasury

Mga presyo ng crypto

Higit pa
Bitcoin
Bitcoin
BTC
$113,834.44
+2.63%
Ethereum
Ethereum
ETH
$4,395.2
+2.47%
XRP
XRP
XRP
$3
+1.69%
Tether USDt
Tether USDt
USDT
$1
+0.04%
BNB
BNB
BNB
$896.03
+2.58%
Solana
Solana
SOL
$222.96
+4.47%
USDC
USDC
USDC
$0.9998
+0.02%
Dogecoin
Dogecoin
DOGE
$0.2436
+2.17%
TRON
TRON
TRX
$0.3387
+1.29%
Cardano
Cardano
ADA
$0.8880
+3.44%
Paano magbenta ng PI
Inililista ng Bitget ang PI – Buy or sell ng PI nang mabilis sa Bitget!
Trade na ngayon
Hindi pa Bitgetter?Isang welcome pack na nagkakahalaga ng 6200 USDT para sa mga bagong Bitgetters!
Mag-sign up na
Tungkol kay Bitget
Tungkol kay Bitget Contact us Komunidad Careers Blog ng Bitget Bitget Token (BGB) Sentro ng Anunsyo Katibayan ng mga reserba Proteksyon ng Fund Friendship Links LALIGA partnership Partnership sa MotoGP Blockchain4Youth Blockchain4Her Sitemap
Mga produkto
Spot Futures Onchain Margin Earn Spot copy trading Futures copy trading Bot copy trading Mga bot APIs TraderPro Web3 Wallet Fiat OTC Bitget Swap Telegram Apps Center Airdrop Library
Bumili ng Crypto
Bumili ng Crypto Bumili ng Bitcoin Bumili ng ETH Bumili ng DOGE Bumili ng XRP Bumili ng BGB Bumili ng SHIB Mga presyo ng crypto Presyo ng bitcoin Presyo ng Ethereum Solana price chart Calculator Bitcoin ETF Crypto Wiki XRP price Pi Network price ADA price Solana price Trump coin price Dogecoin price BRC-20 na presyo
Support
Isumite ang Feedback Help Center I-verify ang Mga Opisyal na Channel Anti-scam hub Aplikasyon sa Listahan Mga Serbisyong VIP Affiliate Program Mga serbisyong institusyon Pag-iingat ng asset Mag-download ng data Mga promosyon Referral Program Araw ng bayarin Tax filing API
Legal
Kahilingan sa Pagpapatupad ng Batas Regulatory request Compliance Lisensya sa Regulasyon Mga Patakaran ng AML/CFT Policy sa Privacy Terms of Service Risk Disclosure
I-scan para mag-download
© 2025 Bitget