Oggi, 8 settembre 2025, è andato in scena un attacco su larga scala alla supply chain di NPM (che gestisce pacchetti Javascript). Un attaccante ha pubblicato versioni malevole di pacchetti molto diffusi, tra cui error-ex, has-ansi, color-convert, strip-ansi, is-core-module colpendo siti web, CLI e framework (in modo silenzioso).

Cosa fa il malware?

1) Monkey Patching (alterazione delle funzioni nel sito web senza modificare il codice sorgente), scansione di wallet cripto, Levenshtein distance algoritmo (sostituisce gli address con altri visivamente simili. Ad esempio 0x87d...3ad apparirà come 0x87d...3ad, la modifica sta nel mezzo).

2) Intercetta transazioni e le manipola, modifica i dati in memoria (sostituendo address del destinatario o dello smart contract con quello dell'attaccante).

Se un sito web installa una delle versioni malevole dei pacchetti compromessi, il codice malevolo viene eseguito nel runtime dell’applicazione (Node.js server-side sia per applicazioni front-end distribuite su browser tipo i wallet).

QUALI SONO I RISCHI?

Ogni volta che scrivi, copi/incolli o invii un indirizzo di portafoglio (es. Metamask, Phantom, etc), il malware controlla la stringa.

Se trova un indirizzo, lo sostituisce con uno degli indirizzi dell’attaccante. La sostituzione è fatta con address visivamente simili (simile al Poisonous Attack dove vengono inviati piccoli importi, dust, da un address visivamente simile a quello della vittima, in modo tale che se quest'ultimo effettua operazioni di routine tipo invii agli stessi address magari fa "copia e incolla" dell'address sbagliato). 

Dunque se apri MetaMask o Phantom, il malware intercetta le chiamate API (eth_sendTransaction, ecc.). Quando provi a fare una transazione su una dapp affetta (invio fondi), l’indirizzo del destinatario viene modificato in memoria prima che tu firmi la transazione. Se swappi su un dex, sostituisce address dello smart contract con quello dell'attaccante (intercettando dati in uscita e in entrata). Se tu non hai installato il malware non corri rischi, sempre se nel mentre non usi wallet e invii fondi in giro (in quel caso interagendo con una dapp infetta). Meglio aspettare patch e la risoluzione del problema.

JAVASCRIPT

Chiaramente ad esser colpito non è solo il mondo cripto ma anche tutti i siti web che usano quelle librerie, tuttavia lì non ci sono fondi da rubare non essendo avviate transazioni. Ciò che succede è l'interruzione delle funzionalità o errori (come il "fetch is not defined" che ha fatto scattare l’allarme).