Экосистема JavaScript стала свидетелем одной из крупнейших атак на цепочку поставок: хакеры скомпрометировали аккаунт известного разработчика под псевдонимом qix в менеджере пакетов NPM. В результате злоумышленники интегрировали вредоносный код в десятки популярных библиотек, которые в совокупности имеют более миллиарда загрузок каждую неделю. Наиболее пострадавшими утилитами стали chalk, strip-ansi, color-convert, color-name, is-core-module, error-ex, simple-swizzle и has-ansi.
Об этом сообщает Finway
Как работала атака и кто пострадал
После компрометации аккаунта qix в кодовую базу популярных JavaScript-пакетов был введён вредоносный скрипт, способный подменять криптоадреса во время транзакций. Таким образом, хакеры пытались украсть цифровые активы пользователей. Атака была обнаружена только после того, как одна из команд разработчиков заметила аномалии при сборке проекта. Расследования выявили наличие обфусцированного кода с функциями, такими как checkethereumw, направленными на кражу криптовалюты.
По словам технического директора Ledger Чарльза Гилмера, это масштабная атака на цепочку поставок, угрожающая всей экосистеме JavaScript. Он призвал пользователей быть особенно осторожными при подписании крипто-транзакций, а если у них нет аппаратного кошелька, временно воздержаться от операций в блокчейне.
“Вредоносный код подменяет криптоадреса ‘на лету’, чтобы украсть средства. Если вы используете аппаратный кошелёк, внимательно проверяйте каждую транзакцию перед подписанием. Если у вас нет аппаратного кошелька, лучше временно воздержаться от транзакций в блокчейне.”
Ответ сообщества и рекомендации экспертов
Аналитики безопасности NPM уже удалили большинство заражённых версий библиотек, а автор скомпрометированного пакета сотрудничает с командой безопасности. Однако эксперты предупреждают, что вредоносные зависимости могут всё ещё оставаться в lockfile или кэшированных сборках, поэтому риск для проектов сохраняется.
Несмотря на масштаб атаки, финансовые потери оказались минимальными: хакерам удалось украсть всего около $50 в Ethereum и мем-коинах. Эксперты Security Alliance подчеркивают, что такая компрометация могла предоставить доступ к миллионам рабочих станций. Даже если убытки в этот раз были незначительными, последствия подобных атак в будущем могут быть катастрофическими.
“Компрометация аккаунта разработчика, чьи пакеты скачиваются миллиарды раз, может открыть доступ к миллионам рабочих станций. На этот раз хакеры заработали копейки, но последствия могли бы быть катастрофическими.”
Эксперты рекомендуют разработчикам срочно провести аудит зависимостей своих проектов, зафиксировать библиотеки на последних безопасных версиях с помощью overrides в package.json и внимательно проверять адреса во время криптовалютных платежей, особенно если аппаратный кошелёк не используется.
Стоит отметить, что в мае 2025 года Ledger столкнулся с фишинговой атакой после взлома аккаунта модератора своего канала в Discord. Это подчеркивает важность соблюдения практик кибербезопасности и постоянного мониторинга зависимостей в программных проектах.