npmattack
1,953 lượt xem
11 đang thảo luận
Phổ biến
Mới nhất
Xem bản gốc
#Cập nhật về cuộc tấn công NPM: Cuộc tấn công thật may mắn đã thất bại, hầu như không có nạn nhân.
Nó bắt đầu bằng một email lừa đảo từ một miền hỗ trợ npm giả mạo đã đánh cắp thông tin xác thực và cho phép kẻ tấn công truy cập để xuất bản các bản cập nhật gói độc hại. Mã được tiêm nhắm vào hoạt động web crypto, kết nối vào Ethereum, Solana và các chuỗi khác để chiếm đoạt các giao dịch, và thay thế địa chỉ ví trực tiếp trong các phản hồi mạng.
Các sai lầm của những kẻ tấn công đã gây ra sự cố trong các pipeline CI/CD, điều này dẫn đến việc phát hiện sớm và tác động hạn chế. Tuy nhiên, đây là một lời nhắc nhở rõ ràng: nếu tiền của bạn nằm trong một ví phần mềm hoặc trên một sàn giao dịch, bạn chỉ cách một lần thực thi mã để mất mọi thứ. Các lỗ hổng trong chuỗi cung ứng vẫn là một vector giao hàng malware mạnh mẽ, và chúng tôi cũng thấy nhiều cuộc tấn công có mục tiêu hơn xuất hiện.
Ví cứng được thiết kế để chịu đựng những đe dọa này. Các tính năng như Xác thực Rõ ràng cho phép bạn xác nhận chính xác những gì đang xảy ra, và Kiểm tra Giao dịch đánh dấu hoạt động đáng ngờ trước khi quá muộn.
Mối nguy ngay lập tức có thể đã qua, nhưng mối đe dọa thì chưa. Hãy giữ an toàn.#NPMATTACK
Nó bắt đầu bằng một email lừa đảo từ một miền hỗ trợ npm giả mạo đã đánh cắp thông tin xác thực và cho phép kẻ tấn công truy cập để xuất bản các bản cập nhật gói độc hại. Mã được tiêm nhắm vào hoạt động web crypto, kết nối vào Ethereum, Solana và các chuỗi khác để chiếm đoạt các giao dịch, và thay thế địa chỉ ví trực tiếp trong các phản hồi mạng.
Các sai lầm của những kẻ tấn công đã gây ra sự cố trong các pipeline CI/CD, điều này dẫn đến việc phát hiện sớm và tác động hạn chế. Tuy nhiên, đây là một lời nhắc nhở rõ ràng: nếu tiền của bạn nằm trong một ví phần mềm hoặc trên một sàn giao dịch, bạn chỉ cách một lần thực thi mã để mất mọi thứ. Các lỗ hổng trong chuỗi cung ứng vẫn là một vector giao hàng malware mạnh mẽ, và chúng tôi cũng thấy nhiều cuộc tấn công có mục tiêu hơn xuất hiện.
Ví cứng được thiết kế để chịu đựng những đe dọa này. Các tính năng như Xác thực Rõ ràng cho phép bạn xác nhận chính xác những gì đang xảy ra, và Kiểm tra Giao dịch đánh dấu hoạt động đáng ngờ trước khi quá muộn.
Mối nguy ngay lập tức có thể đã qua, nhưng mối đe dọa thì chưa. Hãy giữ an toàn.#NPMATTACK
Xem bản gốc
𝗡𝗣𝗠 𝗦𝘂𝗽𝗽𝗹𝘆 𝗖𝗵𝗮𝗶𝗻 𝗔𝘁𝘁𝗮𝗰𝗸 𝗗𝗲𝘁𝗲𝗰𝘁𝗲𝗱: 𝗠𝗮𝗹𝗶𝗰𝗶𝗼𝘂𝘀 𝗩𝗲𝗿𝘀𝗶𝗼𝗻 𝗼𝗳 𝗣𝗼𝗽𝘂𝗹𝗮𝗿 𝗣𝗮𝗰𝗸𝗮𝗴𝗲 𝗥𝗲𝗹𝗲𝗮𝘀𝗲𝗱
👨💻 Một mối đe dọa bảo mật lớn vừa xảy ra trong thế giới phát triển:
Một phiên bản độc hại của gói phổ biến @ctrl/tinycolor (với 2.2M lượt tải hàng tuần!) đã được phát hành.
💀 Những gì nó làm:
Chạy một script ăn cắp thông tin ẩn ngay sau khi cài đặt
Nhắm vào dữ liệu nhạy cảm sử dụng TruffleHog
Có thể làm lộ các dự án của bạn & dữ liệu cá nhân ngay lập tức
🔥 Nếu bạn đã cài đặt hoặc cập nhật gần đây:
✅ Ngừng cài đặt/cập nhật ngay lập tức
✅ Kiểm tra phiên bản của bạn & khóa nó vào một phiên bản an toàn
✅ Cảnh báo đội ngũ của bạn trước khi nó lan rộng hơn
Đây là một lời nhắc nhở khác: Các cuộc tấn công chuỗi cung ứng đang trở nên đáng sợ hơn từng ngày.
👉 Các nhà phát triển, bạn đã bao giờ bị tấn công bởi một gói độc hại trước đây chưa?
Hãy chia sẻ ý kiến của bạn 👇 — hãy nâng cao nhận thức trước khi nhiều dự án bị xâm phạm hơn!
#NPMATTACK
#scamriskwarning
#AltcoinSeasonComing?
👨💻 Một mối đe dọa bảo mật lớn vừa xảy ra trong thế giới phát triển:
Một phiên bản độc hại của gói phổ biến @ctrl/tinycolor (với 2.2M lượt tải hàng tuần!) đã được phát hành.
💀 Những gì nó làm:
Chạy một script ăn cắp thông tin ẩn ngay sau khi cài đặt
Nhắm vào dữ liệu nhạy cảm sử dụng TruffleHog
Có thể làm lộ các dự án của bạn & dữ liệu cá nhân ngay lập tức
🔥 Nếu bạn đã cài đặt hoặc cập nhật gần đây:
✅ Ngừng cài đặt/cập nhật ngay lập tức
✅ Kiểm tra phiên bản của bạn & khóa nó vào một phiên bản an toàn
✅ Cảnh báo đội ngũ của bạn trước khi nó lan rộng hơn
Đây là một lời nhắc nhở khác: Các cuộc tấn công chuỗi cung ứng đang trở nên đáng sợ hơn từng ngày.
👉 Các nhà phát triển, bạn đã bao giờ bị tấn công bởi một gói độc hại trước đây chưa?
Hãy chia sẻ ý kiến của bạn 👇 — hãy nâng cao nhận thức trước khi nhiều dự án bị xâm phạm hơn!
#NPMATTACK
#scamriskwarning
#AltcoinSeasonComing?
Xem bản gốc
Bạn thấy
Điều này lớn hơn bạn nghĩ
Báo cáo đến như
Điều này hoàn toàn nhắm vào web3
#NPMATTACK @Binance Customer Support @GlobalCryptoPress.com
Điều này lớn hơn bạn nghĩ
Báo cáo đến như
Điều này hoàn toàn nhắm vào web3
#NPMATTACK @Binance Customer Support @GlobalCryptoPress.com
Xem bản gốc
#NPMATTACK 🚨
Một cuộc tấn công chuỗi cung ứng lớn đã
làm lộ 18 gói npm cốt lõi - bao gồm *chalk*,
*debug*, và *strip-ansi*- với hơn 2.6B lượt tải hàng tuần.
Tin tặc đã tiêm mã độc được thiết kế để đánh cắp
các giao dịch tiền điện tử bằng cách hoán đổi địa chỉ ví.
Để bảo vệ bản thân: kiểm tra và khóa các phiên bản
phụ thuộc an toàn, tránh tự động cập nhật mù quáng,
sử dụng các công cụ quét bảo mật, và luôn kiểm tra
kỹ địa chỉ ví trước khi xác nhận bất kỳ giao dịch
nào trên chuỗi.
#attack
Một cuộc tấn công chuỗi cung ứng lớn đã
làm lộ 18 gói npm cốt lõi - bao gồm *chalk*,
*debug*, và *strip-ansi*- với hơn 2.6B lượt tải hàng tuần.
Tin tặc đã tiêm mã độc được thiết kế để đánh cắp
các giao dịch tiền điện tử bằng cách hoán đổi địa chỉ ví.
Để bảo vệ bản thân: kiểm tra và khóa các phiên bản
phụ thuộc an toàn, tránh tự động cập nhật mù quáng,
sử dụng các công cụ quét bảo mật, và luôn kiểm tra
kỹ địa chỉ ví trước khi xác nhận bất kỳ giao dịch
nào trên chuỗi.
#attack
Xem bản gốc
📅 Ngày 8 tháng 9 | Pháp – Cảnh báo Ledger lớn đổ bộ vào thế giới Crypto!
Ledger, nhà cung cấp ví phần cứng nổi tiếng thế giới, đã phát đi cảnh báo an ninh khẩn cấp sau khi phát hiện một cuộc tấn công lớn vào chuỗi cung ứng NPM, một trong những nền tảng được sử dụng rộng rãi nhất để phân phối các gói JavaScript.
Công ty khuyến cáo người dùng ngừng tất cả các giao dịch trên chuỗi ngay lập tức trong khi điều tra cuộc tấn công. Đây là một bước đi quan trọng, vì các mô-đun NPM bị xâm phạm có thể đã lây nhiễm các thư viện thiết yếu được sử dụng bởi các nhà phát triển crypto, có khả năng đặt hàng triệu quỹ của người dùng vào rủi ro.
Chi tiết chính:$BTC
Nguồn gốc tấn công: Các gói NPM bị xâm phạm chèn mã độc hại
Tác động: Các lỗ hổng tiềm ẩn trong ví và dịch vụ crypto
Phản ứng: Ledger đang làm việc với các chuyên gia an ninh mạng toàn cầu để kiềm chế mối đe dọa
Phản ứng của thị trường: Các nhà phân tích cảnh báo về khả năng tồn tại cửa hậu có thể đánh cắp khóa riêng tư hoặc thao túng giao dịch
Các cuộc tấn công chuỗi cung ứng đã nhắm vào các dự án lớn trong quá khứ, như SolarWinds, ảnh hưởng đến hàng ngàn công ty. Cảnh báo của Ledger làm nổi bật một điểm quan trọng: an ninh crypto không chỉ là về ví phần cứng; hệ sinh thái phần mềm xung quanh cũng quan trọng không kém.
$ETH
Điểm rút ra:
Ngay cả những ông lớn trong ngành cũng có thể dễ bị tổn thương trước rủi ro phần mềm của bên thứ ba. Tính phi tập trung mang lại tự do, nhưng nó cũng đòi hỏi sự cảnh giác nghiêm ngặt cho từng lớp bảo mật.
💬 Bạn nghĩ gì? Bạn sẽ tiếp tục sử dụng Ledger, hay chuyển sang một giải pháp giám sát khác? Chia sẻ suy nghĩ của bạn bên dưới!
Hashtags:
#Ledger #CryptoSecurity #NPMATTACK #CryptoNews
Ledger, nhà cung cấp ví phần cứng nổi tiếng thế giới, đã phát đi cảnh báo an ninh khẩn cấp sau khi phát hiện một cuộc tấn công lớn vào chuỗi cung ứng NPM, một trong những nền tảng được sử dụng rộng rãi nhất để phân phối các gói JavaScript.
Công ty khuyến cáo người dùng ngừng tất cả các giao dịch trên chuỗi ngay lập tức trong khi điều tra cuộc tấn công. Đây là một bước đi quan trọng, vì các mô-đun NPM bị xâm phạm có thể đã lây nhiễm các thư viện thiết yếu được sử dụng bởi các nhà phát triển crypto, có khả năng đặt hàng triệu quỹ của người dùng vào rủi ro.
Chi tiết chính:$BTC
Nguồn gốc tấn công: Các gói NPM bị xâm phạm chèn mã độc hại
Tác động: Các lỗ hổng tiềm ẩn trong ví và dịch vụ crypto
Phản ứng: Ledger đang làm việc với các chuyên gia an ninh mạng toàn cầu để kiềm chế mối đe dọa
Phản ứng của thị trường: Các nhà phân tích cảnh báo về khả năng tồn tại cửa hậu có thể đánh cắp khóa riêng tư hoặc thao túng giao dịch
Các cuộc tấn công chuỗi cung ứng đã nhắm vào các dự án lớn trong quá khứ, như SolarWinds, ảnh hưởng đến hàng ngàn công ty. Cảnh báo của Ledger làm nổi bật một điểm quan trọng: an ninh crypto không chỉ là về ví phần cứng; hệ sinh thái phần mềm xung quanh cũng quan trọng không kém.
$ETH
Điểm rút ra:
Ngay cả những ông lớn trong ngành cũng có thể dễ bị tổn thương trước rủi ro phần mềm của bên thứ ba. Tính phi tập trung mang lại tự do, nhưng nó cũng đòi hỏi sự cảnh giác nghiêm ngặt cho từng lớp bảo mật.
💬 Bạn nghĩ gì? Bạn sẽ tiếp tục sử dụng Ledger, hay chuyển sang một giải pháp giám sát khác? Chia sẻ suy nghĩ của bạn bên dưới!
Hashtags:
#Ledger #CryptoSecurity #NPMATTACK #CryptoNews
Xem bản gốc
🛡️💥 *Phew! Cuộc tấn công chuỗi cung ứng NPM đã thử, nhưng CTO của Ledger nói “Cố gắng tốt, Hacker!” 😂🔒*
---
CẬP NHẬT: CTO của Ledger Charles Guillemet báo cáo rằng cuộc *tấn công chuỗi cung ứng NPM gần đây đã thất bại với gần như không có nạn nhân!* 🙌🔥
Chào gia đình crypto, các hacker nghĩ rằng họ có một cơ hội miễn phí nhưng CTO của Ledger vừa đưa ra một tin tốt — cuộc tấn công vào các gói NPM, mà có thể đã là một cơn ác mộng, *hầu hết đã bị ngăn chặn!* 😎🎉
---
🔍 Thông tin mới là gì?
- Cuộc tấn công nhắm vào các gói NPM (những đoạn mã nhỏ mà tất cả chúng ta đều phụ thuộc vào) với mục tiêu đánh cắp crypto 🕵️♂️💰
- May mắn thay, nhờ vào hành động nhanh chóng và sự cảnh giác, *gần như không có người dùng nào bị ảnh hưởng* ✅
- NHƯNG, mối đe dọa *không hoàn toàn biến mất* — hacker có thể sẽ thử lại ⚠️
---
🔮 Dự đoán & Phân tích:
- An ninh mạng trong crypto vẫn rất quan trọng, hãy mong đợi nhiều nỗ lực hơn vào chuỗi cung ứng 🔐
- Các nhà phát triển & người dùng phải luôn cảnh giác — phát hiện sớm là chìa khóa! 🚨
- Sự kiện này làm nổi bật cách mà an ninh phần mềm gắn liền với sự an toàn của crypto 🌐
- Các dự án crypto nên tăng cường kiểm toán và thực hành lập trình an toàn 🚀
---
💡 Giải pháp & Mẹo:
- Cập nhật phần mềm của bạn thường xuyên — vá những lỗ hổng đó ASAP! 🔧
- Sử dụng xác thực đa yếu tố (MFA) ở bất cứ đâu có thể 🔑
- Luôn cập nhật thông tin về cảnh báo an ninh từ các nguồn chính thức 📢
- Nếu bạn là một nhà phát triển, hãy kiểm tra các phụ thuộc của bạn và tránh các gói không đáng tin cậy 🚫
- Luôn kiểm tra kỹ thông tin giao dịch và an ninh ví 🔍
---
Vì vậy, trong khi cuộc tấn công mạng này đã hầu hết được ngăn chặn, đây là một lời cảnh tỉnh rằng an ninh không phải là một vấn đề một lần — hãy luôn tỉnh táo, gia đình! 🕶️🔒
---
#Ledger #NPMAttack #CryptoSecurity
---
CẬP NHẬT: CTO của Ledger Charles Guillemet báo cáo rằng cuộc *tấn công chuỗi cung ứng NPM gần đây đã thất bại với gần như không có nạn nhân!* 🙌🔥
Chào gia đình crypto, các hacker nghĩ rằng họ có một cơ hội miễn phí nhưng CTO của Ledger vừa đưa ra một tin tốt — cuộc tấn công vào các gói NPM, mà có thể đã là một cơn ác mộng, *hầu hết đã bị ngăn chặn!* 😎🎉
---
🔍 Thông tin mới là gì?
- Cuộc tấn công nhắm vào các gói NPM (những đoạn mã nhỏ mà tất cả chúng ta đều phụ thuộc vào) với mục tiêu đánh cắp crypto 🕵️♂️💰
- May mắn thay, nhờ vào hành động nhanh chóng và sự cảnh giác, *gần như không có người dùng nào bị ảnh hưởng* ✅
- NHƯNG, mối đe dọa *không hoàn toàn biến mất* — hacker có thể sẽ thử lại ⚠️
---
🔮 Dự đoán & Phân tích:
- An ninh mạng trong crypto vẫn rất quan trọng, hãy mong đợi nhiều nỗ lực hơn vào chuỗi cung ứng 🔐
- Các nhà phát triển & người dùng phải luôn cảnh giác — phát hiện sớm là chìa khóa! 🚨
- Sự kiện này làm nổi bật cách mà an ninh phần mềm gắn liền với sự an toàn của crypto 🌐
- Các dự án crypto nên tăng cường kiểm toán và thực hành lập trình an toàn 🚀
---
💡 Giải pháp & Mẹo:
- Cập nhật phần mềm của bạn thường xuyên — vá những lỗ hổng đó ASAP! 🔧
- Sử dụng xác thực đa yếu tố (MFA) ở bất cứ đâu có thể 🔑
- Luôn cập nhật thông tin về cảnh báo an ninh từ các nguồn chính thức 📢
- Nếu bạn là một nhà phát triển, hãy kiểm tra các phụ thuộc của bạn và tránh các gói không đáng tin cậy 🚫
- Luôn kiểm tra kỹ thông tin giao dịch và an ninh ví 🔍
---
Vì vậy, trong khi cuộc tấn công mạng này đã hầu hết được ngăn chặn, đây là một lời cảnh tỉnh rằng an ninh không phải là một vấn đề một lần — hãy luôn tỉnh táo, gia đình! 🕶️🔒
---
#Ledger #NPMAttack #CryptoSecurity
Xem bản gốc
🚨 *Cảnh báo tấn công chuỗi cung ứng quy mô lớn!* 🚨
Một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra, nhắm vào các chủ sở hữu ví tiền điện tử phổ biến. Tài khoản NPM của một nhà phát triển uy tín đã bị xâm phạm, và mã độc đã được chèn vào các gói có hơn 1 tỷ lượt tải xuống. Điều này có nghĩa là toàn bộ hệ sinh thái JavaScript có thể đang gặp nguy hiểm! 💻
*Chuyện gì đang xảy ra?*
- *Tài khoản NPM bị xâm phạm:* Một tài khoản JavaScript npm đáng tin cậy đã bị xâm phạm thông qua kỹ thuật xã hội và một quy trình 2FA giả mạo.
- *Mã độc:* Mã này có thể theo dõi và chuyển hướng các giao dịch tiền điện tử, thay đổi địa chỉ đích của quỹ ngay lập tức.
*Chuyện gì đang xảy ra?*
- *Tài khoản NPM bị xâm phạm:* Một tài khoản JavaScript npm đáng tin cậy đã bị xâm phạm thông qua kỹ thuật xã hội và một quy trình 2FA giả mạo.
- *Mã độc:* Mã này có thể theo dõi và chuyển hướng các giao dịch tiền điện tử, thay đổi địa chỉ đích của quỹ ngay lập tức.
Đăng nhập để khám phá thêm nội dung