Атака на цепочку поставок NPM: крупная биржа избежала угрозы, но пользователи Крипто остаются под риском

Крупнейшая в мире криптовалютная биржа по объему торгов успокоила своих клиентов во вторник, что их данные и активы остаются в безопасности во время того, что называется одной из самых значительных атак на цепочку поставок, когда-либо затрагивавших экосистему JavaScript.

Согласно заявлению, опубликованному в социальных сетях, биржа подтвердила, что во время атаки на широко используемые пакеты Node.js, участвующие в более чем 2 миллиардах загрузок приложений в неделю, ее базе данных не был нанесен вред.

“Мы в курсе недавней атаки на цепочку поставок, в результате которой были опубликованы вредоносные версии нескольких широко используемых пакетов JavaScript,” написала компания. “После расследования мы подтвердили, что нас это не затронуло, и данные или активы клиентов не находятся под угрозой. Безопасность остается нашим главным приоритетом, этот инцидент напоминает нам, насколько критична безопасность цепочки поставок. Оставайтесь SAFU.”

Выдающаяся фигура в крипто-пространстве прокомментировала на социальной платформе: “Даже программное обеспечение с открытым исходным кодом в наши дни не безопасно. Web3 переопределит безопасность для Web2. Мы все еще на ранней стадии.”

Атака пакета JavaScript вызывает опасения в крипто-сообществе

Атака, описанная исследователями безопасности как одна из крупнейших в истории NPM, произошла 8 сентября. Хакеры скомпрометировали аккаунт доверенного мейнтейнера открытого кода “qix” (Josh Junon) с помощью сложного фишингового письма, выдающего себя за официальные коммуникации npmjs.

Меня беспокоит, как легко злоумышленники манипулировали Джуноном с помощью поддельного предупреждения о том, что его аккаунт заблокируется 10 сентября 2025 года, если он немедленно не обновит свои учетные данные для двухфакторной аутентификации.

“В рамках нашей постоянной приверженности безопасности аккаунтов мы просим всех пользователей обновить свои учетные данные для двухфакторной аутентификации (2FA). Наши записи показывают, что с момента вашего последнего обновления 2FA прошло более 12 месяцев,” - говорилось в обманном письме.

Junon позже признал в социальных сетях, что он стал жертвой схемы фишинга после того, как другой администратор сообщил, что его учетная запись NPM “публиковала пакеты с бэкдорами”, что позволило злоумышленникам захватить его аккаунт и внедрить зловредные обновления в 18 популярных библиотеках Node.js, включая chalk, debug, ansi-styles и strip-ansi.

Крипто-транзакции, специально нацеленные

Анализ Aikido Security показал, что злоумышленники внедрили код, позволяющий перехват браузерного трафика, в скомпрометированные пакеты. Вредоносный код был скрыт в файлах index.js, где он мог незаметно отслеживать сетевой трафик и API приложений в любом приложении, использующем затронутые пакеты.

Скрипт специально отслеживает адреса кошельков и транзакции, связанные с Bitcoin, Ethereum, Solana, Tron, Litecoin и Bitcoin Cash. При обнаружении он незаметно заменяет адрес назначения кошелька на контролируемый злоумышленниками, перенаправляя средства без ведома жертвы.

CTO производителя аппаратных кошельков сообщил, что вредоносный код уже распространился в пакетах с более чем одним миллиардам загрузок.

Аналитическая компания в области блокчейна Arkham Intelligence сообщила в понедельник поздно вечером, что только $159 в криптовалюте было украдено до сих пор, прослежено до адресов, идентифицированных исследователями безопасности.

Однако я беспокоюсь, что эта обманчиво низкая цифра скрывает истинный потенциальный ущерб, учитывая миллиарды загрузок, связанные с скомпрометированными пакетами. Медленный начальный кража может просто представлять собой спокойствие перед гораздо более сильным штормом.