Хакерська атака на систему керування пакетами JavaScript NPM, що сталася через скомпрометований акаунт розробника qix, поставила під загрозу всю екосистему JavaScript. В результаті цього зловмисники змогли заразити десятки популярних бібліотек, серед яких chalk, strip-ansi та color-convert, які в сукупності мають мільярд завантажень на тиждень.
Про це розповідає UBB
Технічний директор криптокомпанії Ledger Чарльз Гільмет застеріг користувачів від можливих загроз. Відзначаючи масштаби атаки, він закликав утриматися від ончейн-транзакцій, особливо тим, хто не використовує апаратні гаманці. За його словами, шкідливий код підміняє криптоадреси «на льоту», викрадаючи кошти.
«Шкідливий код підміняє криптоадреси “на льоту”, щоб викрадати кошти. Якщо ви використовуєте апаратний гаманець — уважно перевіряйте кожну транзакцію перед підписанням. Якщо апаратного гаманця немає, краще тимчасово утриматися від ончейн-транзакцій».
Атака залишалася непоміченою до тих пір, поки одна з команд розробників не виявила дивну помилку під час збірки. Розслідування виявило, що в пакети був інтегрований обфускований код, призначений для викрадення криптовалют.
Серед найбільш уражених пакетів:
- chalk — близько 300 млн завантажень на тиждень;
- strip-ansi — 261 млн;
- color-convert — 193 млн;
- color-name — 191 млн;
- is-core-module — 69 млн;
- error-ex — 47 млн;
- simple-swizzle — 26 млн;
- has-ansi — 12 млн.
Аналітики NPM Security вже видалили більшість заражених версій, а автор пакета співпрацює з командою безпеки. Проте ризик все ще залишається, адже шкідливі залежності могли зберегтися у lockfile або в кешованих збірках.
Цікаво, що, незважаючи на масштаби атаки, зловмисники змогли вкрасти лише близько $50 в Ethereum та мемкоїнах.
«Компрометація акаунта розробника, чиї пакети завантажуються мільярди разів, може відкрити доступ до мільйонів робочих станцій. Цього разу хакери заробили копійки, але наслідки могли бути катастрофічними».
Експерти Security Alliance попереджають, що загрозу не слід недооцінювати. Вони рекомендують терміново провести аудит проєктів, закріпити залежності на останніх безпечних версіях та уважно перевіряти криптоплатежі, особливо якщо немає апаратного гаманця.
Нагадаємо, що у травні 2025 року компанія Ledger вже стикалася з фішинговою атакою після злому акаунта модератора Discord-каналу.