Хакерская атака на экосистему JavaScript поставила под угрозу безопасность миллионов пользователей после взлома аккаунта известного разработчика qix в менеджере пакетов NPM. В результате вредоносный код был интегрирован в десятки популярных библиотек, включая chalk, strip-ansi, color-convert, которые в сумме имеют более миллиарда загрузок каждую неделю.
Об этом сообщает Бизнес • Медиа
Детали инцидента: какие пакеты пострадали
Технический директор Ledger Чарльз Гильмет обратил внимание на серьезную опасность для пользователей, поскольку атака затронула важнейшие инструменты JavaScript. Среди пострадавших пакетов:
- chalk — примерно 300 млн загрузок в неделю
- strip-ansi — 261 млн
- color-convert — 193 млн
- color-name — 191 млн
- is-core-module — 69 млн
- error-ex — 47 млн
- simple-swizzle — 26 млн
- has-ansi — 12 млн
Злоумышленники добавили обфусцированный код с функциями кражи криптовалюты. После первоначальной незаметности атака была обнаружена благодаря анализу странных ошибок во время сборки, что привело к расследованию и выявлению вредоносного кода.
Реакция экспертов и рекомендации
«Вредоносный код подменяет криптоадреса “на лету”, чтобы красть средства. Если вы используете аппаратный кошелек — внимательно проверяйте каждую транзакцию перед подписанием. Если аппаратного кошелька нет, лучше временно воздержаться от ончейн-транзакций».
Несмотря на то, что масштабы атаки были беспрецедентными, хакерам удалось украсть лишь около $50 в Ethereum и мемкойнах. Тем не менее, специалисты подчеркивают, что компрометация аккаунта разработчика, чьи пакеты загружаются миллиарды раз, могла открыть доступ к огромному количеству рабочих станций, и последствия могли быть гораздо серьезнее.
Эксперты советуют разработчикам немедленно провести аудит своих проектов, зафиксировать зависимости на безопасных версиях через overrides в package.json, а также тщательно проверять все криптоплатежи, особенно если не используется аппаратный кошелек. Специалисты NPM Security уже удалили большинство зараженных версий, а автор взломанного пакета сотрудничает с командой безопасности. Однако риск сохраняется, так как вредоносные зависимости могут оставаться в lockfile или кэшированных сборках.
Напоминаем, в мае 2025 года Ledger уже сталкивался с фишинговой атакой после взлома аккаунта модератора Discord-канала.