В екосистемі JavaScript зафіксовано одну з найбільших атак на ланцюг постачання: хакери зламали акаунт відомого розробника під псевдонімом qix у менеджері пакетів NPM. Унаслідок цього зловмисники інтегрували шкідливий код у десятки популярних бібліотек, що сумарно мають понад мільярд завантажень щотижня. Найбільше постраждали такі утиліти, як chalk, strip-ansi, color-convert, color-name, is-core-module, error-ex, simple-swizzle та has-ansi.
Про це розповідає Finway
Як діяла атака та кого зачепила
Після компрометації акаунта qix до кодової бази популярних JavaScript-пакетів потрапив шкідливий скрипт, який був здатен підмінювати криптоадреси під час здійснення транзакцій. Таким чином хакери намагалися викрадати цифрові активи користувачів. Виявити атаку вдалося лише після того, як одна з команд розробників помітила аномалії при складанні проєкту. Розслідування показало наявність обфускованого коду з функціями на кшталт checkethereumw, спрямованих на крадіжку криптовалюти.
За даними CTO Ledger Чарльза Гільмета, йдеться про масштабну атаку на ланцюг постачання, яка поставила під загрозу всю екосистему JavaScript. Він закликав користувачів бути особливо уважними під час підписання криптотранзакцій, а у разі відсутності апаратного гаманця — тимчасово утриматися від ончейн-операцій.
«Шкідливий код підміняє криптоадреси “на льоту”, щоб викрадати кошти. Якщо ви використовуєте апаратний гаманець — уважно перевіряйте кожну транзакцію перед підписанням. Якщо апаратного гаманця немає, краще тимчасово утриматися від ончейн-транзакцій».
Реакція спільноти та рекомендації експертів
Аналітики NPM Security вже видалили більшість заражених версій бібліотек, а автор скомпрометованого пакета співпрацює з командою безпеки. Проте фахівці попереджають, що шкідливі залежності могли залишитись у lockfile чи кешованих збірках, тому ризик для проєктів зберігається.
Попри величезний масштаб атаки, фінансові втрати виявилися мінімальними: хакерам вдалося вкрасти лише близько $50 у криптовалютах Ethereum і мемкоїнах. Експерти Security Alliance наголошують, що подібна компрометація може відкрити доступ до мільйонів робочих станцій. Навіть якщо цього разу збитки були незначними, наслідки подібних атак у майбутньому можуть бути катастрофічними.
«Компрометація акаунта розробника, чиї пакети завантажуються мільярди разів, може відкрити доступ до мільйонів робочих станцій. Цього разу хакери заробили копійки, але наслідки могли бути катастрофічними».
Фахівці рекомендують розробникам терміново провести аудит залежностей своїх проєктів, закріпити бібліотеки на останніх безпечних версіях за допомогою overrides у package.json, а також уважно перевіряти адреси під час криптовалютних платежів, особливо якщо не використовується апаратний гаманець.
Нагадаємо, що у травні 2025 року компанія Ledger вже стикалася з фішинговою атакою після злому акаунта модератора свого Discord-каналу. Це підкреслює важливість дотримання кібервбезпеки та постійного моніторингу залежностей у програмних проєктах.