🚨 Bitcoin Wallets & the NPM Supply Chain Attack: What You Need to Know If you’ve seen panic headlines flying around, you’re not alone. A major supply chain attack just hit the JavaScript/NPM ecosystem, and it could affect wallets or apps that rely on NPM packages. The short version: • A popular NPM developer’s account was compromised. • Malicious code was slipped into dozens of core libraries with over a billion weekly downloads. • This malware silently swaps your Bitcoin address with one controlled by the attacker, and it’s smart enough to make the fake address look almost identical to yours. 👉 That’s why you should double-check every single character of the address you see before signing or sending funds. ⸻ 🧨 Why This Matters for Bitcoiners Even though this started in the “developer world,” Bitcoiners aren’t immune. Many wallets and companion apps are written in JavaScript and pull dependencies from NPM. That’s where the risk lies. Some hardware wallets are fine — as long as you verify the receiving address on the device screen itself. But if the companion software is compromised, it could trick you into approving a transaction you didn’t intend. This attack is nasty because it doesn’t just swap in any random scam address. It uses an algorithm to pick an address that looks visually similar to your real one. Blink, and you won’t notice the difference. ⸻ 🛑 Don’t Panic. Do This Instead: 1. If you’re not making an on-chain transaction right now, relax. You’re safe. 2. Never sign blindly. Always verify the address on your hardware wallet screen, not just the software. 3. Use unaffected wallets (see list below). 4. If you must transact urgently, consider using Sparrow Wallet, which doesn’t rely on NPM/JavaScript. ⸻ ✅ Confirmed Unaffected by the NPM Attack These wallets and apps are not impacted: • Cove Wallet • Nunchuk • Aqua • Blockstream • Sparrow Wallet • Wasabi Wallet • COLDCARD • Specter Wallet • Electrum • Foundation Devices • Krux • SeedSigner • Bitcoin Keeper 👉 Special mention: Bull Bitcoin Wallet confirmed they’re unaffected since they use Rust and Dart-Flutter libraries instead of JavaScript, backed by an active dev team that takes open source security seriously. ⸻ 🟢 Blockstream App & Jade Statement Good news for Jade users: • Blockstream Jade is unaffected by the NPM supply chain attack. • Always confirm the exact send and receive address on your Jade screen before approving any transaction to avoid risks from address-swapping malware. • The Blockstream App does not use JavaScript or NPM. • It is built in: • Swift for iOS • Kotlin for Android • C++ and QML for desktop (Qt) 👉 That means both the Blockstream app and Blockstream Jade are unaffected by the ongoing NPM JavaScript attack. ⸻ ⚡ Bottom Line • If your wallet relies on NPM/JavaScript → proceed with caution. • If your wallet is on the confirmed safe list → you’re fine, but still verify addresses before signing. • If in doubt → use Sparrow, Wasabi, or a hardware wallet with an independent screen. Bitcoin is about don’t trust, verify. Today, that means literally verifying your addresses character by character. Stay sovereign. Stay safe.

🚨 Ataque a NPM y Riesgo para Wallets de Bitcoin: Lo Que Nadie Está Explicando en Español Parece increíble, pero casi no hay información en español sobre lo que acaba de pasar: un ataque masivo a la cadena de suministro en el ecosistema JavaScript/NPM que podría afectar a wallets y apps de Bitcoin que dependen de estas librerías. Esto no es un bug menor. Estamos hablando de: • Un desarrollador popular en NPM fue comprometido. • Se publicaron versiones maliciosas de docenas de librerías con más de mil millones de descargas semanales. • El malware cambia silenciosamente tu dirección de Bitcoin por una del atacante, y lo hace con inteligencia: escoge una dirección casi idéntica a la tuya para que no notes la diferencia. 👉 Por eso debes revisar cada carácter de la dirección en la pantalla de tu hardware wallet antes de firmar cualquier transacción. ⸻ 🧨 ¿Por qué esto importa a los Bitcoiners? Aunque comenzó en el mundo “dev”, los Bitcoiners no están a salvo. Muchas wallets y apps compañeras están escritas en JavaScript y dependen de NPM. Ahí está el punto débil. El hardware en sí no está comprometido, pero si la app compañera lo está, te puede engañar para firmar una transacción falsa. Y lo peor: este ataque no mete una dirección cualquiera, sino que busca la más parecida visualmente a la tuya. Si solo revisas los primeros y últimos caracteres, puedes caer sin darte cuenta. ⸻ 🛑 No entres en pánico. Haz esto: 1. Si no estás haciendo una transacción on-chain ahora mismo, estás bien. 2. Nunca firmes a ciegas. Revisa la dirección en la pantalla de tu hardware wallet. 3. Usa wallets no afectadas (lista abajo). 4. Si necesitas transaccionar, Sparrow Wallet es una gran alternativa: no depende de NPM ni JavaScript. ⸻ ✅ Confirmados como NO afectados Estas wallets y apps confirmaron no estar afectadas: • Cove Wallet • Nunchuk • Aqua • Blockstream • Sparrow Wallet • Wasabi Wallet • COLDCARD • Specter Wallet • Electrum • Foundation Devices • Krux • SeedSigner • Bitcoin Keeper 👉 Nota: Bull Bitcoin Wallet también confirmó que no está afectada, ya que utilizan Rust y Dart-Flutter en lugar de JavaScript, con un equipo activo de desarrollo que se toma en serio la seguridad open source. ⸻ 🟢 Blockstream App & Jade Buenas noticias para los usuarios de Jade: • Blockstream Jade no está afectada por el ataque a NPM. • Siempre confirma la dirección de envío y recepción en la pantalla de tu Jade antes de aprobar cualquier transacción. • La Blockstream App no usa JavaScript ni NPM. • Está construida en: • Swift para iOS • Kotlin para Android • C++ y QML para escritorio (Qt) 👉 Tanto la Blockstream App como Blockstream Jade están a salvo de este ataque a NPM. ⸻ ⚡ Conclusión • Si tu wallet depende de NPM/JavaScript → extrema precauciones. • Si usas una de la lista de confirmadas → estás bien, pero revisa siempre la dirección en la pantalla. • Si dudas → usa Sparrow, Wasabi o hardware wallets con pantalla independiente. Bitcoin es no confíes, verifica. Hoy eso significa revisar cada carácter de tus direcciones antes de firmar. Mantén tu soberanía. Mantente seguro.

Fiat has turned humans into consuming debt-slaves chasing paper promises.

🚨Nostr! How do we stream here!? 👀 🤣 We want to premiere our newest episode of El Salvador’s Bitcoin podcast this week on Nostr! Help us out! 🇸🇻⚡️

This week I’m going to this motherfucker concert! And I can’t stop listening to him! 🔥⚡️ Austin is one of my favorites! 😎

Spotify

Hollywood's Bleeding

Post Malone · Hollywood's Bleeding · Song · 2019

Good morning, Nostr! Happy Monday. Let’s do this! ⚡️