Эксперты заявили о второй волне атак на реестр npm

• Эксперты в сфере кибербезопасности заявили о второй волне атак на реестр npm.
• Были скомпрометированы до 800 пакетов, инцидент затронул более 25 000 репозиториев и множество популярных проектов.
• Злоумышленники используют самовоспроизводящегося червя Sha1-Hulud.

Различные эксперты, в частности из Aikido Security, Koi Security, Socket и другие, заявили о второй волне атак на реестр npm, онлайн-хранилище JavaScript-пакетов. Были скомпрометированы сотни пакетов, включая те, что используются в криптовалютной сфере.

Вредоносная кампания получила название Sha1-Hulud: The Second Coming. Точное количество скомпрометированных пакетов на момент написания неизвестно, по разным оценкам это число составляет от 400 до 800, но реальное значение может быть больше.

Были затронуты более 25 000 репозиториев на GitHub, принадлежащих свыше 500 пользователям, и такие проекты, как Zapier, ENS, AsyncAPI, PostHog, Postman.

Непосредственно само вредоносное ПО Sha1-Hulud — это самовоспроизводящийся npm-червь. Отличием второй волны атак является использование злоумышленниками preinstall скрипта (setup_bun.js) в списке пакетов (package.json), который настроен на скрытую установку и запуск вложения (bun_environment.js), что и является вирусом.

Для поиска и кражи информации используется TruffleHog. При этом, как отметили в Koi Security, новая волна атак более агрессивная. При определенных условиях ПО попросту стирает пользовательские данные.

«Другими словами, если Sha1-Hulud не удается украсть учетные данные, получить токены или обеспечить канал для передачи данных, он уничтожает информацию. Это знаменует собой существенный прогресс по сравнению с первой волной, поскольку тактика злоумышленников смешается от чистого хищения данных к карательному саботажу», — заявили исследователи.

Известно, что вредоносные пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года. Атака все еще продолжается.

Из скомпрометированного перечня пакетов, который фигурирует, например, в заметке Aikido Security, как минимум 10 активно используются в криптовалютной сфере. Это, например, ensjs, ens-validation, ethereum-ens и ens-contracts, связанные с проектом Ethereum Name Service и с тысячами еженедельных загрузок.

Еще как минимум один скомпрометированный пакет, активно используемый в сфере, — это crypto-addr-codec.

Ранее мы сообщали о схожем инциденте — взломали аккаунт известного разработчика qix в менеджере пакетов для JavaScript. Злоумышленники воспользовались этим, чтобы скомпрометировать множество популярных библиотек. Однако ущерб от действий хакеров составил всего $50.