Хакерська атака на екосистему JavaScript поставила під загрозу безпеку мільйонів користувачів після злому акаунта відомого розробника qix у менеджері пакетів NPM. У результаті шкідливий код було інтегровано до десятків популярних бібліотек, зокрема chalk, strip-ansi, color-convert, що сумарно мають понад мільярд завантажень щотижня.
Про це розповідає Бізнес • Медіа
Деталі інциденту: які пакети постраждали
Технічний директор Ledger Чарльз Гільмет звернув увагу на серйозну небезпеку для користувачів, оскільки атака зачепила найважливіші інструменти JavaScript. Серед уражених пакетів:
- chalk — приблизно 300 млн завантажень на тиждень
- strip-ansi — 261 млн
- color-convert — 193 млн
- color-name — 191 млн
- is-core-module — 69 млн
- error-ex — 47 млн
- simple-swizzle — 26 млн
- has-ansi — 12 млн
Зловмисники додали обфускований код із функціями викрадення криптовалюти. Після ініціальної непомітності атака була виявлена завдяки аналізу дивних помилок під час збірки, що призвело до розслідування та виявлення шкідливого коду.
Реакція експертів та рекомендації
«Шкідливий код підміняє криптоадреси “на льоту”, щоб викрадати кошти. Якщо ви використовуєте апаратний гаманець — уважно перевіряйте кожну транзакцію перед підписанням. Якщо апаратного гаманця немає, краще тимчасово утриматися від ончейн-транзакцій».
Попри те, що масштаби атаки були безпрецедентними, хакерам вдалося викрасти лише близько $50 в Ethereum та мемкоїнах. Проте фахівці наголошують, що компрометація акаунта розробника, чиї пакети завантажуються мільярди разів, могла відкрити доступ до величезної кількості робочих станцій, і наслідки могли бути набагато серйознішими.
Експерти радять розробникам негайно провести аудит своїх проєктів, закріпити залежності на безпечних версіях через overrides у package.json, а також ретельно перевіряти всі криптоплатежі, особливо якщо не використовується апаратний гаманець. Фахівці NPM Security вже видалили більшість заражених версій, а автор зламаного пакета співпрацює з командою безпеки. Однак ризик зберігається, оскільки шкідливі залежності можуть залишатися у lockfile або кешованих збірках.
Нагадаємо, у травні 2025 року Ledger вже стикалася з фішинговою атакою після злому акаунта модератора Discord-каналу.