8. septembra 2025 je bil v JavaScript ekosistemu odkrit resen varnostni incident, ki neposredno ogroža uporabnike kriptovalut. Hekerji so prevzeli račun uglednega razvijalca na platformi NPM in v priljubljene pakete, kot so chalk, debug in strip-ansi, vgradili zlonamerno kodo. Ti paketi so bili skupno preneseni že več kot milijardo krat, kar pomeni, da je potencialno ogrožena celotna skupnost uporabnikov in razvijalcev.
Gre za podobno zgodbo kot 26. avgusta 2025, ko je bil napaden sistem nx build, pri čemer so hekerji pridobili tisoče poverilnic za GitHub in različne oblačne storitve. Tokrat pa je cilj napada zamenjava naslovov kripto denarnic, kamor uporabniki pošiljajo sredstva.
Kako deluje napad?
Zlonamerna koda se obnaša kot vmesnik, ki prestreza naslove prejemnikov pri transakcijah. Ti naslovi se nato tiho zamenjajo z naslovi, ki jih nadzorujejo napadalci. Uporabnik, ki transakcijo potrdi, pogosto ne opazi spremembe – posledica pa je, da sredstva končajo v napačni denarnici.
Napad ni omejen na eno samo verigo, temveč cilja na več blokovnih verig hkrati – med drugim Bitcoin, Ethereum in Solano.
Kaj storiti zdaj?
- Uporabniki strojnih denarnic (Ledger, Trezor, BitBox …): pred potrditvijo vedno preverite, ali se naslov prejemnika na zaslonu naprave ujema z naslovom, ki ga želite uporabiti. Če se ne ujema – transakcijo prekličite.
- Uporabniki programskih (vročih) denarnic: začasno prenehajte z izvajanjem on-chain transakcij, dokler se situacija ne razjasni. Pri vročih denarnicah namreč ni načina, da bi zanesljivo preverili pravi naslov prejemnika.
- Razvijalci: preverite, ali vaši projekti uporabljajo ogrožene pakete (chalk, backslash, chalk-template …) in jih takoj posodobite na varne različice. Priporočljivo je tudi redno spremljanje varnostnih objav NPM skupnosti.
Zakaj je nevarnost resna?
- Obseg – prizadeti paketi imajo skupaj več kot milijardo prenosov.
- Ciljanje več verig – napad se ne omejuje samo na en tip kriptovalute.
- Nevidnost – uporabnik pogosto sploh ne opazi, da je naslov zamenjan.
Po analizi, objavljeni na Substacku, gre za napad, ki bi lahko imel dolgoročne posledice za zaupanje v JavaScript ekosistem.
Ta incident je še en opomnik, da so strojne denarnice z zaslonom najbolj varna rešitev za shranjevanje in upravljanje kriptovalut. Denarnice brez zaslona ali vroče denarnice na telefonih so v tem scenariju skoraj enako ranljive kot aplikacije v brskalniku.
Bodite previdni, redno posodabljajte programsko opremo in opozorite tudi druge člane skupnosti. Samo z ozaveščenostjo in pravočasnim ukrepanjem lahko zmanjšamo tveganja in zaščitimo svoja sredstva.
Slovenian