Пакеты npm с 2 миллиардами еженедельных загрузок были взломаны в ходе крупной атаки

Компания Aikido Security зафиксировала самую крупную атаку npm, когда-либо зафиксированную: было взломано 18 пакетов, таких как chalk, debug и ansi-styles, с целью взлома криптокошельков с помощью внедренного кода.

Компания Aikido Security выявила, возможно, крупнейшую в истории взлом цепочки поставок npm. Учётная запись проверенного временем мейнтейнера, известного как qix была взломана с помощью фишингового письма, и 18 популярных пакетов были изменены вредоносным кодом. Среди этих пакетов — Chalk, Debug и Ansi-Styles, которые в общей сложности еженедельно загружаются более двух миллиардов раз.

Хорошая новость заключается в том, что обнаружение произошло достаточно быстро, чтобы ограничить ущерб. Чарли Эриксен, ведущий исследователь вредоносных программ Aikido, сообщил, что атака была обнаружена в течение пяти минут и раскрыта в течение часа.

Особую серьёзность инциденту придаёт цель внедрённого вредоносного ПО. Код предназначен не для воздействия на среды разработки или серверы, а для вмешательства в криптовалютные транзакции в браузере.

По словам исследователей, он подключается к API MetaMask , Phantom и других кошельков, изменяя данные транзакций до того, как пользователи подпишут транзакцию. Интерфейс отображает правильного получателя, но средства перенаправляются на адреса, контролируемые злоумышленником.

Вредоносное ПО также перехватывает сетевой трафик и вызовы приложений, распознаёт форматы Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash, а затем перезаписывает их, используя убедительные дубликаты адресов. Работая как на уровне браузера, так и на уровне API, оно может создавать видимость легитимности мошеннических переводов.

Полный список скомпрометированных пакетов длинный, но среди наиболее распространённых — chalk (300 миллионов загрузок в неделю), debug (358 миллионов) и ansi-styles (371 миллион). Другие затронутые проекты включают в себя низкоуровневые утилиты, такие как is-arrayish, и библиотеки форматирования, такие как strip-ansi.

Для многих разработчиков эти пакеты являются частью основы повседневных приложений JavaScript, а это значит, что вредоносные версии уже могут быть запущены в производственных системах по всему миру.

Сотрудник службы поддержки подтвердил на Bluesky, что его аккаунт был взломан после получения фишингового письма от « [email protected] ». К тому времени, как он начал удалять заражённые пакеты, доступ к его аккаунту был потерян. Некоторые пакеты, например, simple-swizzle, остаются скомпрометированными на момент последнего обновления.

Анализ Aikido, предоставленный Hackread.com, показывает, что код крайне интрузивен и изменяет такие функции, как fetch , XMLHttpRequest и методы API кошелька. Он изменяет полезные данные транзакций, подтверждения и даже процесс подписания Solana, перенаправляя активы без ведома пользователя. На практике это означает, что разработчик, обновивший один из этих пакетов, может подвергнуть пользователей риску перехвата кошелька при их взаимодействии с приложениями Web3 .

На данный момент разработчикам рекомендуется вернуться к заведомо безопасным версиям, проверить все последние обновления пакетов и внимательно отслеживать транзакции, если их приложения взаимодействуют с криптовалютными кошельками. Ситуация остаётся нестабильной, и Aikido публикует актуальные обновления в своём официальном блоге .