incrypted.com
- Хакеры атаковали NPM через аккаунт разработчика qix и поставили под угрозу всю экосистему JavaScript.
- Взлом вызвал миллиард загрузок зараженных пакетов, но только $50 кражи.
- CTO Ledger отметил, что пользователям стоит временно воздержаться от ончейн-транзакций.
Технический директор (CTO) криптокомпании Ledger Чарльз Гильмет сообщил об угрозе экосистеме JavaScript после того, как хакеры взломали аккаунт известного разработчика qix в менеджере пакетов для JavaScript (NPM).
🚨 Идет масштабная атака на цепочку поставок: аккаунт NPM авторитетного разработчика был скомпрометирован. Пострадавшие пакеты уже были загружены более 1 миллиарда раз, что означает, что вся экосистема JavaScript может оказаться под угрозой.
– Charles Guillemet (@P3b7_) 8 сентября 2025 г
Вредоносная полезная нагрузка работает..
В результате в десятки популярных библиотек — в частности chalk, strip-ansi, color-convert и другие — интегрировался вредоносный код. Суммарно эти пакеты имеют более одного миллиарда загрузок еженедельно.
По словам Гильмета, сейчас происходит «масштабная атака на цепь поставок»:
«Вредоносный код подменяет криптоадреса “на лету”, чтобы похищать средства. Если вы используете аппаратный кошелек — внимательно проверяйте каждую транзакцию перед подписанием. Если аппаратного кошелька нет, лучше временно воздержаться от ончейн-транзакций».
Атака оставалась незамеченной, пока одна из команд разработчиков не столкнулась со странной ошибкой во время сборки. Расследование показало, что в пакеты добавили обфускованный код с функциями вроде checkethereumw, которые пытались похитить криптовалюты.
В список пораженных попали одни из важнейших утилит JavaScript:
- chalk — около 300 млн загрузок в неделю;
- strip-ansi — 261 млн;
- color-convert — 193 млн;
- color-name — 191 млн;
- is-core-module — 69 млн;
- error-ex — 47 млн;
- simple-swizzle — 26 млн;
- has-ansi — 12 млн.
Аналитики NPM Security уже удалили большинство зараженных версий, тогда как автор пакета получил сообщение и сотрудничает с командой безопасности. Однако риск остается, ведь вредоносные зависимости могли сохраниться в lockfile или в кэшированных сборках.
Несмотря на масштаб атаки, результат оказался довольно ироничным: злоумышленникам удалось украсть лишь около $50 в Ethereum и мемкоинах.
Представьте себе: вы компрометируете аккаунт разработчика NPM, чьи пакеты скачиваются более 2 миллиардов раз в неделю. Вы можете получить беспрепятственный доступ к миллионам рабочих станций разработчиков. Вас ждут несметные богатства. Весь мир – ваша устрица.
– Security Alliance (@_SEAL_Org) 8 сентября 2025 г
Вы получаете прибыль менее 50 долларов США.
Эксперты Security Alliance предупредили, что не стоит недооценивать угрозу:
«Компрометация аккаунта разработчика, чьи пакеты загружаются миллиарды раз, может открыть доступ к миллионам рабочих станций. В этот раз хакеры заработали копейки, но последствия могли быть катастрофическими».
Специалисты порекомендовали:
- срочно провести аудит проектов;
- закрепить зависимости на последних безопасных версиях с помощью overrides в package.json;
- внимательно проверять криптоплатежи, особенно если нет аппаратного кошелька.
Напомним, что в мае 2025 года компания Ledger столкнулась с фишинговой атакой после взлома аккаунта модератора Discord-канала.