Атака на мережу постачання NPM: великий обмін ухиляється від небезпеки, але користувачі крипто залишаються під загрозою

Найбільша у світі біржа криптовалют за об'ємами торгів у вівторок запевнила своїх клієнтів, що їхні дані та активи залишаються в безпеці під час того, що називають одним з найзначніших атак на ланцюг постачання, які коли-небудь траплялися в екосистемі JavaScript.

Згідно з заявою, опублікованою в соціальних мережах, біржа підтвердила, що жодної шкоди її базі даних не завдано під час зламу, націленого на широко використовувані пакети Node.js, які беруть участь у понад 2 мільярдах щотижневих завантажень додатків.

“Ми знаємо про нещодавню атаку на ланцюг постачання, що публікує шкідливі версії кількох широко використовуваних пакетів JavaScript,” - написала компанія. “Після розслідування ми підтвердили, що нас це не торкнулося, і дані чи активи клієнтів не під загрозою. Безпека залишається нашим головним пріоритетом, ця компрометація нагадує нам, наскільки критичною є безпека ланцюга постачання. Будьте SAFU.”

Видатна постать у криптопросторі прокоментувала на соціальній платформі: “Навіть програмне забезпечення з відкритим кодом не є безпечним у наші дні. Web3 переосмислить безпеку для Web2. Ми все ще на початку.”

Напад пакунка JavaScript лякає крипто-спільноту

Атака, описана дослідниками безпеки як одна з найбільших в історії NPM, сталася 8 вересня. Хакери скомпрометували обліковий запис надійного утримувача з відкритим кодом “qix” (Josh Junon) за допомогою складного фішингового електронного листа, що імпонує офіційним комунікаціям npmjs.

Мене турбує, як легко зловмисники маніпулювали Жуноном, використовуючи фальшиве попередження про те, що його обліковий запис буде заблоковано 10 вересня 2025 року, якщо він негайно не оновить свої облікові дані двофакторної аутентифікації.

“Як частина нашого постійного зобов'язання щодо безпеки облікових записів, ми просимо всіх користувачів оновити свої облікові дані Двофакторної Аутентифікації (2FA). Наші записи вказують, що з моменту вашого останнього оновлення 2FA пройшло більше 12 місяців,” йшлося у вкрадливому електронному листі.

Junon пізніше визнав у соціальних мережах, що став жертвою фішингової схеми після того, як інший підтримувач розкрив, що його обліковий запис NPM “публікує пакети з бекдорами”, що дозволило зловмисникам захопити його обліковий запис і впровадити шкідливі оновлення в 18 популярних бібліотек Node.js, включаючи chalk, debug, ansi-styles та strip-ansi.

Крипто-транзакції, що спеціально націлені

Аналіз Aikido Security виявив, що зловмисники впровадили код, який забезпечує перехоплення на базі браузера в скомпрометовані пакети. Зловмисний код був прихований у файлах index.js, де він міг безшумно моніторити мережевий трафік та API додатків у будь-якому додатку, що використовує уражені пакети.

Скрипт спеціально стежить за адресами гаманців та транзакціями, що стосуються Bitcoin, Ethereum, Solana, Tron, Litecoin та Bitcoin Cash. Коли виявляється, він тихо замінює адресу гаманця-одержувача на ту, що контролюється зловмисниками, перенаправляючи кошти без відома жертви.

CTO виробника апаратних гаманців повідомив, що шкідливий код вже проник у пакети з понад мільярдом завантажень.

Аналітична компанія з блокчейн-технологій Arkham Intelligence повідомила в понеділок увечері, що було вкрадено лише $159 вартості криптовалюти, відстежено до адрес, ідентифікованих дослідниками безпеки.

Однак я турбуюсь, що ця оманливо низька цифра приховує справжній потенційний збиток, враховуючи мільярди завантажень, пов'язаних із зламаними пакетами. Повільна початкова крадіжка може просто бути спокій перед набагато більшим штормом.