Ledger CTO waarschuwt gebruikers voor grootschalige supply chain aanval op NPM

De cryptowereld staat op scherp na een massive supply chain-aanval op het JavaScript-ecosysteem. Hackers hebben het npm-account van Josh Goldberg, beter bekend als "Qix", gekraakt en kwaadaardige updates gepusht naar 18 populaire pakketten zoals chalk, debug, strip-ansi en color-convert.

Deze tools zijn de ruggengraat van het moderne web en tellen samen meer dan 2,6 miljard wekelijkse downloads, volgens npm-stats. Charles Guillemet, CTO van Ledger, slaat dan ook alarm: gebruikers zonder hardware wallet doen er goed aan om on-chain transacties te skippen tot nader order.

Wat is er precies gebeurd, en hoe groot is de schade? We duiken erin!

Op 8 september 2025 vielen hackers het npm-account van Qix aan via een slimme phishing-campagne. Ze stuurden e-mails die zich voordeden als het supportteam van NPM, met een nep-domein zoals [email protected].

De berichten dreigden met accountblokkades per 10 september tenzij de 2FA-credentials werden bijgewerkt. Slachtoffers die op de link klikten, belandden op een neppe login-pagina waar hun inloggegevens werden gestolen.

Qix, een bekende open-source maintainer, gaf toe dat hij erin trapte tijdens een stressvolle week: "Sorry everyone, very embarrassing," postte hij later.

Zodra de aanvallers controle hadden, pushten ze malware in de nieuwste versies van die 18 pakketten. Onderzoekers van Aikido Security spotten het als eerste, dankzij een build-fout die verborgen code blootlegde.

De payload? Een crypto-clipper die browserfuncties onderschept en legitieme wallet-adressen vervangt door die van de hackers. In sommige gevallen kaapt het zelfs transacties van browser-wallets zoals MetaMask, voordat je tekent.

De code bootst echte adressen na met geavanceerde algoritmen, en richt zich op chains als ETH, BTC, SOL en meer. Met miljarden downloads al bereikt, is dit een van de grootste supply chain-rampspoed ever in JS-land. Charles Guillemet, CTO van Ledger, deelde zijn bezorgdheid op X:

Hij adviseert hardware wallet-gebruikers om elke transactie dubbel te checken voor het tekenen – dan ben je safe. Maar voor wie geen hardware heeft:

Het is nog onduidelijk of de hackers ook seed phrases stelen, maar de risico's zijn groot. NPM heeft de meeste kwaadaardige versies al verwijderd, maar door transitive dependencies is het lastig om alles te fixen.

Ontwikkelaars: scan je projecten nu, pin veilige versies in je package.json en rebuild lockfiles. Dit toont de kwetsbaarheid van open-source: het draait op vertrouwen, maar één phishing-mail kan alles omgooien.

Blijf alert en volg CryptoBenelux voor de laatste updates over crypto-security, hacks en tips om je wallet te beschermen. Wat denk jij – tijd om je setup beveiliging op te schroeven? Deel je tips en tricks vooral ook op onze socials!