Ngày 8/9, Charles Guillemet – Giám đốc Công nghệ (CTO) của Ledger – đã phát đi cảnh báo khẩn cấp về một vụ tấn công chuỗi cung ứng quy mô lớn đang diễn ra trên hệ sinh thái JavaScript. Ông khuyến nghị cộng đồng tiền mã hoá và các nhà phát triển nên tạm thời ngừng giao dịch on-chain nếu chưa sử dụng ví cứng (hardware wallet).
Theo Guillemet, tài khoản NPM của một nhà phát triển uy tín đã bị hacker chiếm quyền kiểm soát. Những gói phần mềm độc hại từ tài khoản này đã bị tải xuống hơn 1 tỷ lần, gây nguy cơ cho toàn bộ hệ sinh thái JavaScript và các dự án crypto liên quan.
Ông nhấn mạnh:
“Nếu bạn dùng ví cứng với tính năng xác nhận giao dịch minh bạch, bạn vẫn an toàn. Nhưng nếu chỉ dùng ví mềm hoặc ví online, hãy dừng mọi giao dịch on-chain ngay bây giờ để tránh rủi ro.”
Hacker có thể tráo đổi địa chỉ ví tiền điện tử trong im lặng
Các chuyên gia mô tả đây có thể là cuộc tấn công chuỗi cung ứng lớn nhất từ trước đến nay. Thay vì tấn công trực tiếp từng cá nhân, hacker đã cài mã độc ngay trong chuỗi phân phối phần mềm, khiến bất kỳ ai cập nhật hoặc cài đặt gói bị nhiễm đều trở thành nạn nhân.
Mã độc này hoạt động bằng cách lén tráo địa chỉ ví tiền điện tử trong giao dịch, khiến người dùng vô tình gửi tiền cho hacker thay vì người nhận thật sự. Cách thức này tương tự như những vụ tấn công trước đó, chẳng hạn như nhóm hacker Triều Tiên từng đánh cắp 1,5 tỷ USD từ sàn Bybit hồi đầu năm nay.
Nhà phát triển ẩn danh 0x_ultra cho biết:
“Các gói như Chalk – vốn có hơn 2 tỷ lượt tải hàng tuần – đã bị khai thác. Điều này đồng nghĩa vô số dự án phụ thuộc vào chúng cũng có nguy cơ rò rỉ private key.”
Người quản lý gói bị tấn công xác nhận trên mạng xã hội Bluesky rằng anh đã bị hacker lừa thông qua email phishing. Email này được gửi từ một tên miền giả mạo npmjs.com, trong đó dọa khoá tài khoản vào ngày 10/9/2025 để buộc anh nhấp vào đường link độc hại.
May mắn là đến khoảng 15:15 UTC cùng ngày, các bản vá đầu tiên đã được tung ra. Tuy nhiên, nhiều chuyên gia vẫn cảnh báo rằng các frontend website và ứng dụng tích hợp có thể tiếp tục chịu rủi ro nếu đã cập nhật gói trong khoảng thời gian bị nhiễm.
Người dùng cần làm gì lúc này?
Charles Guillemet đã đưa ra lời khuyên như sau:
- Nếu dùng ví cứng (Ledger, Trezor, v.v.): Vẫn an toàn nhờ cơ chế xác nhận giao dịch minh bạch.
- Nếu dùng ví mềm (Metamask, Trust Wallet…): Nên tạm ngừng mọi giao dịch on-chain cho đến khi cộng đồng xác nhận an toàn.
- Các lập trình viên: Cần kiểm tra toàn bộ dependencies, đặc biệt nếu có cập nhật npm trong 24 giờ qua.
