OKX Wallet khẳng định ứng dụng di động dựa trên framework native Android và iOS không bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng NPM; mọi dịch vụ nền tảng vẫn hoạt động bình thường.
Cuộc tấn công đã lừa chiếm tài khoản NPM của một nhà phát triển, chèn mã độc vào 18 gói JavaScript phổ biến để nhắm vào môi trường Web3, thao túng yêu cầu giao dịch và chuyển tài sản về địa chỉ kẻ tấn công.
- OKX khẳng định app native không dùng các thành phần NPM bị ảnh hưởng; dịch vụ nền tảng hoạt động bình thường.
- Kẻ tấn công chiếm tài khoản NPM, chèn mã độc vào 18 gói JS (gồm chalk, debug-js), nhắm vào Web3 bằng cách phát hiện window.ethereum và chuyển hướng giao dịch.
- Người dùng Web3 cần kiểm tra kỹ chữ ký giao dịch, dùng ví phần cứng và cập nhật, khóa phiên bản phụ thuộc để giảm rủi ro.
Tóm tắt phản hồi của OKX Wallet
OKX Wallet cho biết ứng dụng di động phát triển trên native Android và iOS không dùng các thành phần NPM bị nhiễm và không có rủi ro bảo mật liên quan.
Đơn vị này khẳng định plugin, web app và trình duyệt DApp di động của họ không sử dụng các thư viện bị tấn công, nên các dịch vụ nền tảng vẫn hoạt động. Người dùng được khuyến nghị tiếp tục sử dụng bình thường nhưng nên cảnh giác chung với các rủi ro chuỗi cung ứng.
Cơ chế tấn công và phạm vi ảnh hưởng
Kẻ tấn công chiếm quyền tài khoản NPM của một nhà phát triển thông qua email lừa đảo, rồi chèn mã độc vào 18 gói JavaScript phổ biến, bao gồm chalk và debug-js.
Mã độc không cấy trojan cục bộ hay đánh cắp file, mà tập trung vào kịch bản Web3: khi phát hiện window.ethereum trong trình duyệt, mã sẽ can thiệp vào yêu cầu giao dịch Ethereum/Solana, thay đổi địa chỉ nhận trong phản hồi JSON để chuyển tiền tới địa chỉ do kẻ tấn công kiểm soát (ví dụ: 0xFc4a4858…). Dù giao diện hiển thị địa chỉ hợp lệ, giao dịch thực chất bị chuyển hướng.
Tác động với người dùng và biện pháp khuyến nghị
Người dùng Web3 có thể bị mất tài sản nếu truy cập dApp hoặc cài packages bị nhiễm; ứng dụng native không dùng các thành phần bị ảnh hưởng sẽ an toàn hơn.
Khuyến nghị: kiểm tra kỹ thông tin giao dịch trước khi ký; sử dụng ví phần cứng để ký giao dịch; khóa phiên bản phụ thuộc NPM (package-lock.json), hạn chế cài gói không rõ nguồn, và cập nhật phần mềm bảo mật. Nhà phát triển nên rà soát chuỗi cung ứng và xác minh chữ ký gói.
OKX Wallet có bị ảnh hưởng không?
Theo thông tin phản hồi, ứng dụng native Android/iOS của OKX không sử dụng các thành phần NPM bị nhiễm và được xác định không có rủi ro bảo mật liên quan.
Mã độc hoạt động như thế nào trong môi trường Web3?
Mã độc nhận diện window.ethereum hoặc môi trường Solana trên trang, can thiệp yêu cầu giao dịch và thay địa chỉ nhận trong phản hồi JSON để chuyển tiền về địa chỉ do kẻ tấn công kiểm soát.
Làm sao người dùng tự bảo vệ tài sản ngay lập tức?
Không ký giao dịch nếu thông tin bất thường; dùng ví phần cứng; kiểm tra địa chỉ nhận trực tiếp; cập nhật ứng dụng và tránh cài gói NPM từ nguồn không rõ.
Nhà phát triển cần làm gì để giảm rủi ro chuỗi cung ứng?
Khóa phiên bản phụ thuộc, kiểm tra thay đổi gói trước khi cập nhật, dùng công cụ rà quét chuỗi cung ứng và yêu cầu chữ ký/định danh cho gói quan trọng.
