Ledger CTO Warns Of Crypto Clipper Malware Following Major NPM Breach

bitcoinistXuất bản vào 2025-09-08Cập nhật gần nhất vào 2025-09-08

Tóm tắt

A significant supply chain attack has raised alarms within the cryptocurrency community, especially after the Node Package Manager (NPM) account...

Trusted Editorial content, reviewed by leading industry experts and seasoned editors. Ad Disclosure

A significant supply chain attack has raised alarms within the cryptocurrency community, especially after the Node Package Manager (NPM) account of developer Qix was compromised.

Charles Guilletment, the Chief Technology Officer of Ledger, a hardware wallet provider, issued a stark warning to crypto investors in a recent post on social media platform X (formerly Twitter). 

He highlighted the potential risks associated with this breach, noting that the affected packages have been downloaded over a billion times, putting the entire JavaScript ecosystem in jeopardy.

Crypto Clipper Malware Discovered

According to an investigative report on the matter, the malicious code introduced in this attack functions as a “crypto-clipper,” a type of malware designed to intercept and alter cryptocurrency transactions. 

The malicious code is said to operate by silently swapping wallet addresses in network requests, effectively redirecting funds from legitimate wallets to those controlled by the attacker. 

Related Reading: Bitcoin Premium Bubble Has Burst — NYDIG Says The Signal Is Clear

For users of hardware wallets, Guilletment advised that careful attention should be paid to every transaction before signing. In contrast, he urged individuals who do not utilize hardware wallets to refrain from any on-chain transactions until the situation is fully resolved. 

In light of the breach, a crypto expert has confirmed that they are collaborating with the NPM security team to address the issue. While the malicious code has been removed from most of the compromised packages, the situation remains fluid. 

Urgent Security Measures

The supply chain attack specifically involved the developer known as Qix, leading to the publication of malicious versions of numerous high-impact packages. With the combined weekly downloads of these affected packages surpassing one billion, the potential impact on the JavaScript ecosystem is substantial.

Related Reading: XRP Ledger Update: What The Zero-Knowledge Privacy Launch Means For Ripple Investors

To mitigate risks, Guilletment emphasized the importance of auditing project dependencies immediately. Developers are encouraged to pin all affected packages to their last known safe versions using the overrides feature in their package.json files. 

Crypto
The daily chart shows the total crypto market cap valuation at $3.83 trillion. Source: TOTAL on TradingView.com

Featured image from DALL-E, chart from TradingView.com 

Editorial Process for bitcoinist is centered on delivering thoroughly researched, accurate, and unbiased content. We uphold strict sourcing standards, and each page undergoes diligent review by our team of top technology experts and seasoned editors. This process ensures the integrity, relevance, and value of our content for our readers.
Ronaldo Marquez

Ronaldo Marquez

Follow

Ronaldo is a seasoned crypto enthusiast with over four years of experience in the field. He is passionate about exploring the vast and dynamic world of decentralized finance (DeFi) and its practical applications for achieving economic sovereignty. Ronaldo is constantly seeking to expand his knowledge and expertise in the DeFi space, as he believes it holds tremendous potential for transforming the traditional financial landscape.

Full Profile

Related Posts

Robinhood

BREAKING: Saylor’s Strategy Misses S&P 500 Inclusion, Robinhood Takes Spotlight

2 days ago
Crypto

New Pro-Crypto Plan Unveiled By SEC And CFTC: Could Traditional Markets Go 24/7?

3 days ago
World Liberty Financial

World Liberty Financial Accuses Exchange Of Token Manipulation, Justin Sun Blacklisted

4 days ago
Polymarket

Polymarket Set To Go Live In The US Following CFTC Approval, Says CEO

5 days ago
Blockchain

Commerce Department To Release Blockchain Statistics, Says Lutnick

1 week ago
Ripple

BREAKING: Ripple Vs SEC Lawsuit Concludes As Court Approves Dismissal

2 weeks ago

Nội dung Liên quan

Ethereum giảm 45% từ đầu năm – Vậy tại sao SharpLink và cá voi vẫn tiếp tục mua?

Mặc dù giá Ethereum (ETH) đã giảm mạnh, dao động từ 20% đến 45% từ đầu năm, đồng tiền điện tử hàng đầu này vẫn thu hút sự quan tâm mạnh mẽ từ các tổ chức và cá voi. SharpLink đã nối lại việc mua vào, bổ sung 5,000 ETH và 26.324K LSETH, nâng tổng nắm giữ lên 876,285 ETH, thể hiện niềm tin vào tiện ích dài hạn và thu nhập từ staking của Ethereum. Song song đó, một ví cá voi mới đã tích lũy 18,361 ETH, cho thấy chiến lược xây dựng vị thế cho các biến động giá tương lai thay vì phản ứng với biến động ngắn hạn. Tuy nhiên, sự phục hồi tổng thể vẫn bị hạn chế bởi dòng tiền ròng rút khỏi các ETF Spot, như đợt rút 12.85 triệu USD gần đây, cho thấy tâm lý nhà đầu tư tổ chức qua kênh ETF chưa ổn định. Tóm lại, trong khi hành động tích lũy từ kho bạc doanh nghiệp và cá voi củng cố niềm tin dài hạn, Ethereum vẫn cần dòng tiền vào ETF mạnh mẽ hơn để bù đắp áp lực bán và thúc đẩy sự phục hồi bền vững.

ambcrypto2 giờ trước

Ethereum giảm 45% từ đầu năm – Vậy tại sao SharpLink và cá voi vẫn tiếp tục mua?

ambcrypto2 giờ trước

Vừa qua, DeepSeek V4 cập nhật DSpark, tốc độ suy luận tăng 80%

Vừa qua, DeepSeek V4 đã được cập nhật với framework giải mã suy đoán mới là **DSpark**, giúp tăng tốc độ suy luận lên tới 80%. Cốt lõi của bản cập nhật này là framework **DSpark**, một kỹ thuật giải mã suy đoán được triển khai trên DeepSeek-V4-Pro hiện có để tăng tốc độ suy luận, chứ không phải là nâng cấp kiến trúc mô hình. DSpark giải quyết các điểm nghẽn về độ trễ và thông lượng trong môi trường sản xuất, đặc biệt ở các tình huống có tải cao. DSpark kết hợp hai cải tiến chính: 1. **Kiến trúc sinh bán tự hồi quy (Semi-Autoregressive Generation)**: Giữ lợi thế về thông lượng cao của mô hình phác thảo song song, đồng thời thêm mô-đun nối tiếp nhẹ để mô hình hóa mối quan hệ phụ thuộc giữa các token, giúp giảm thiểu tỷ lệ chấp nhận suy giảm. 2. **Xác minh theo lịch trình độ tin cậy, nhận biết phần cứng (Confidence-Scheduled Verification)**: Một "đầu độ tin cậy" (Confidence Head) được sử dụng để đánh giá xác suất tồn tại của mỗi token phác thảo. Hệ thống điều phối sẽ xác định độ dài xác minh tối ưu một cách linh hoạt dựa trên đặc điểm tải và phần cứng, chỉ phân bổ tài nguyên tính toán cho những token có khả năng được chấp nhận cao nhất. Trong các thử nghiệm trên nhiều lĩnh vực như suy luận toán học, tạo mã và hội thoại, DSpark vượt trội so với các phương pháp tiên tiến hiện tại như Eagle3 và DFlash. So với cơ sở sinh token đơn trước đó (MTP-1), DSpark đã **tăng tốc độ phản hồi cho người dùng từ 57% đến 85%** (tuỳ thuộc vào việc sử dụng mô hình Flash hay Pro) trong khi vẫn duy trì cùng tổng thông lượng. Cùng với DSpark, DeepSeek cũng công khai mã nguồn **DeepSpec**, một bộ công cụ toàn diện để đào tạo và đánh giá các mô hình phác thảo cho giải mã suy đoán. DeepSpec cung cấp một đường ống công việc tiêu chuẩn bao gồm chuẩn bị dữ liệu, đào tạo và đánh giá, hỗ trợ nhiều thuật toán (DSpark, DFlash, Eagle3) và mô hình mục tiêu (hiện tại là Qwen3 và Gemma).

marsbit3 giờ trước

Vừa qua, DeepSeek V4 cập nhật DSpark, tốc độ suy luận tăng 80%

marsbit3 giờ trước

Liệu Aavenomics 3.0 có thể duy trì đợt phục hồi của AAVE giữa tin đồn thâu tóm từ Kraken?

Giám đốc điều hành Aave Labs, Stani Kulechov, đã bác bỏ các tin đồn gần đây về việc sàn giao dịch Kraken có kế hoạch mua lại 15% cổ phần của Aave Group với giá trị 71 triệu USD, nhấn mạnh rằng họ sẽ không bao giờ bán AAVE với mức chiết khấu 70%. Thay vào đó, ông tiết lộ kế hoạch Aavenomics 3.0, bao gồm cơ chế mua lại tự động mới, với doanh thu hàng năm 134 triệu USD sẽ được chuyển về Aave DAO. Thông tin này đã thúc đẩy giá đồng AAVE tăng 12%, kéo dài đợt phục hồi trong tháng 6 lên hơn 50%, đạt mức 88 USD, dù vẫn thấp hơn 77% so với mức kỷ lục năm 2025. Áp lực bán trên các sàn giao dịch giảm mạnh từ cuối tháng 5, cùng với các yếu tố tích cực khác, đã hỗ trợ cho đà tăng này. Tuy nhiên, giá AAVE trước đó đã chịu ảnh hưởng từ xung đột quản trị và áp lực vĩ mô. Thị trường hiện đang chờ đợi phản ứng với kế hoạch Aavenomics 3.0 và khả năng duy trì đà phục hồi của AAVE.

ambcrypto4 giờ trước

Liệu Aavenomics 3.0 có thể duy trì đợt phục hồi của AAVE giữa tin đồn thâu tóm từ Kraken?

ambcrypto4 giờ trước

Cách mà thần đồng Karpathy sử dụng Claude, hóa ra là như thế này?

Andrej Karpathy, một chuyên gia hàng đầu trong lĩnh vực AI, được cho là đã sử dụng một tệp CLAUDE.md cá nhân để hướng dẫn Claude - công cụ AI lập trình từ Anthropic - hoạt động hiệu quả hơn. Dù tính xác thực của tệp này chưa được kiểm chứng, nhưng nội dung của nó phản ánh chính xác những nguyên tắc Karpathy thường chia sẻ. Tài liệu này đưa ra các quy tắc then chốt để tránh những lỗi phổ biến khi AI viết code. Trọng tâm bao gồm: **Đọc kỹ code hiện có** trước khi viết mới để đảm bảo tính nhất quán; **Suy nghĩ thấu đáo** về yêu cầu và các phương án triển khai trước khi bắt tay vào code; **Giữ mọi thứ đơn giản nhất có thể**, tránh thiết kế thừa và chỉ xử lý những vấn đề thực sự tồn tại; **Sửa đổi một cách "phẫu thuật"**, chỉ thay đổi phần cần thiết và tuân thủ phong cách code sẵn có của dự án. Các hướng dẫn khác bao gồm việc luôn **xác minh code** bằng kiểm thử, làm việc **theo mục tiêu rõ ràng**, **gỡ lỗi có phương pháp**, thận trọng khi thêm **phụ thuộc mới**, và **giao tiếp hiệu quả** về những thay đổi. Tài liệu cũng chỉ ra các "mẫu thất bại" thường gặp như làm quá nhiều việc cùng lúc, tạo ra sự trừu tượng hóa không cần thiết, hoặc lạc quyết định ban đầu. Về cơ bản, những nguyên tắc này nhằm biến Claude từ một thực thể tạo code chung chung thành một trợ lý lập trình thực sự hiểu ngữ cảnh, tuân thủ dự án và giảm thiểu nhu cầu viết lại code. Dù tệp gốc có phải của Karpathy hay không, các nguyên tắc này được cộng đồng đánh giá cao và đã có dự án trên GitHub tổng hợp chúng, được cho là giúp giảm tỷ lệ lỗi code do AI tạo ra một cách đáng kể.

marsbit4 giờ trước

Cách mà thần đồng Karpathy sử dụng Claude, hóa ra là như thế này?

marsbit4 giờ trước

BIT Nghiên cứu: Halving năm 2028 không phải là dấu chấm hết, cuộc đại phẫu thật sự của ngành khai thác Bitcoin chỉ mới bắt đầu

Ngành công nghiệp khai thác Bitcoin hiện đang trải qua đợt điều chỉnh cấu trúc phức tạp nhất từ trước đến nay. Dù giá Bitcoin duy trì quanh 61.000 USD và hashrate toàn mạng gần chạm mức lịch sử 1 ZH/s, lợi nhuận của thợ đào liên tục xấu đi. Mô hình kinh tế cho thấy, giá sản xuất dưới hiện tại là 46.744 USD, nhưng thực tế, thu nhập thực tế của thợ đào thấp hơn 136% so với mức lý thuyết ở mức giá này. Doanh thu từ phí giao dịch cũng ở mức thấp. Áp lực chi phí gia tăng, với điện chiếm 71.5% tổng doanh thu năm 2025. Ngưỡng hòa vốn toàn ngành ước tính khoảng 65.000 USD. Sau đợt halving năm 2028, giá sản xuất dưới dự kiến tăng lên khoảng 93.289 USD, đẩy nhanh quá trình đào thải. Ngành công nghiệp đang chuyển từ kinh doanh khai thác đơn thuần sang mô hình kinh doanh cơ sở hạ tầng. Các công ty khai thác đang đa dạng hóa sang các lĩnh vực như vận hành cơ sở hạ tầng năng lượng, cung cấp dịch vụ điện toán AI/HPC. Những công ty lớn, có nguồn vốn mạnh, nguồn điện chi phí thấp và nguồn thu đa dạng sẽ có lợi thế cạnh tranh. Điểm then chốt cho các nhà đầu tư không chỉ là sự kiện halving, mà là khả năng chuyển đổi mô hình kinh doanh và xây dựng lợi thế bền vững của các công ty khai thác.

marsbit4 giờ trước

BIT Nghiên cứu: Halving năm 2028 không phải là dấu chấm hết, cuộc đại phẫu thật sự của ngành khai thác Bitcoin chỉ mới bắt đầu

marsbit4 giờ trước

Giao dịch

Giao ngay
活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow