Все, что известно о крупнейшей атаке на NPM: как вместо миллионов хакеры украли всего $50

В криптовалютной индустрии произошел один из самых масштабных инцидентов в области кибербезопасности последних лет. Хакеры взломали учетную запись разработчика в Node Package Manager (NPM) и внедрили вредоносный код в популярные JavaScript-библиотеки. Этими пакетами пользуются миллиардами раз по всему миру, а значит взлом потенциально угрожает тысячам проектов, включая криптосервисы. Однако, как установила исследовательская платформа Security Alliance (SEAL), реальный ущерб от атаки оказался почти нулевым: злоумышленникам удалось похитить менее $50 в криптовалюте

Редакция BeInCrypto восстановила хронологию событий. Рассказываем, что случилось и к каким последствиям стоит приготовиться.

Самая безопасная криптобиржа: топ вариантов

Как произошла атака

Атака началась со взлома аккаунта известного разработчика в NPM. Аббревиатурой называют крупнейший репозиторий пакетов JavaScript. NPM выполняет ту же функцию, что магазин приложений, только для программистов: в нем хранятся десятки тысяч небольших библиотек (утилит), которые затем используются как «кирпичики» для сборки крупных приложений.

Злоумышленники получили доступ к учетным данным и загрузили новые версии пакетов с добавленным вредоносным кодом. Такой тип атаки называется supply chain attack (атака на цепочку поставок ПО). Он опасен тем, что уязвимость распространяется «по цепочке» — не только на проекты, которые напрямую скачивают вредоносный пакет, но и на те, что используют другие библиотеки, зависящие от зараженных модулей.

В данном случае речь идет о небольших, но крайне распространенных утилитах:

• chalk — отвечает за раскраску текста в терминале;
• strip-ansi — удаляет специальные управляющие символы ANSI;
• color-convert — преобразует форматы цветовых значений.

На первый взгляд такие утилиты могут показаться незначительными, но они встроены в тысячи более сложных библиотек. В результате уязвимость может незаметно попасть даже в пакет, разработчики которого никогда напрямую не устанавливали зараженные файлы.

Разработчик и аналитик под ником 0xngmi поделился своим видением случившегося. По его словам, зараженные файлы могут внедрять вредоносный код в сайты. Например, при нажатии кнопки «swap» транзакция может быть подменена так, что средства отправятся злоумышленнику.

Однако пользователь в любом случае увидит подозрительную транзакцию в своем кошельке и должен будет ее одобрить. То есть мгновенной автоматической кражи средств не произойдет.

0xngmi отметил:

• уязвимы только те проекты, которые обновили код после публикации зараженного пакета;
• большинство разработчиков закрепляют версии зависимостей (сторонние программные библиотеки или пакеты, которые разработчик подключает к своему проекту, чтобы не писать каждую функцию с нуля), что снижает вероятность автоматического заражения;
• проекты, которые не обновляли зависимости, остаются безопасными.

Тем не менее обычные пользователи не могут быть уверены, как именно работает система обновлений у конкретного проекта. Поэтому, по мнению 0xngmi, наиболее безопасным решением остается временный отказ от использования криптосервисов до тех пор, пока разработчики не очистят свои проекты от вредоносных зависимостей.

Ущерб от атаки

По данным SEAL, вредоносный код нацелен на криптокошельки Ethereum и Solana. Внутри пакетов скрывалась программа-клиппер — разновидность вредоносного ПО, которая перехватывает операции с адресами кошельков. Когда пользователь копирует адрес для перевода средств, программа подменяет его на адрес атакующего.

Однако в реальности масштаб краж оказался мизерным. Исследователи выявили единственный подтвержденный злонамеренный адрес — 0xFc4a48. На него было переведено:

• около 5 центов в ETH;
• порядка $20 в одном из мемкоинов;
• еще несколько мелких токенов (Brett, Andy, Dork Lord, Ethervista, Gondola).

Итого — менее $50 ущерба.

Кто мог пострадать

Технически под угрозой оказались миллионы разработчиков и пользователей. Библиотеки, в которые внедрили вредоносный код, загружаются более миллиарда раз в неделю. Но риск оказался неравномерным:

• криптопроекты, особенно те, что автоматически обновляют зависимости. Если после публикации зараженного пакета они выпустили апдейт, в коде могли появиться скрытые механизмы кражи средств;
• конечные пользователи. Опасность возникает только если приложение пытается совершить транзакцию и пользователь подтверждает ее. Без подписи транзакции атака не срабатывает;
• разработчики кошельков и DeFi-платформ, так как атака направлена на фронтенд-приложения (веб-сайты, интерфейсы), где адреса копируются в буфер обмена.

Многие крупные игроки быстро заявили, что их продукты не пострадали:

• Ledger и MetaMask отметили, что используют многослойную защиту, предотвращающую подобные сценарии;
• Phantom Wallet сообщил, что его продукты не используют зараженные версии библиотек;
• Uniswap, Blast, Blockstream Jade, Revoke.cash и другие также подтвердили, что их сервисы не затронуты.

Технический директор Ledger Шарль Гийоме в своем комментарии уточнил, что вредоносный код работает путем подмены криптовалютных адресов. Пользователи аппаратных кошельков с функцией clear signing защищены, так как всегда видят конечный адрес на экране устройства. Но владельцам только программных кошельков он рекомендовал временно воздержаться от транзакций, пока угроза окончательно не устранена.

Возможные последствия и уроки для индустрии

Хотя реальный ущерб оказался минимальным, эксперты предупреждают: сама схема атаки демонстрирует огромный риск для всей криптоэкосистемы. Если бы злоумышленники действовали продуманнее, они могли бы получить доступ к миллионам рабочих станций разработчиков и потенциально украсть миллионы долларов.

Основные последствия:

1. Рост внимания к supply chain security. Даже маленькая библиотека может стать «троянским конем» для всей индустрии.
2. Ревизия процессов обновлений. Автоматическое подтягивание последних версий пакетов без проверки их целостности становится критическим риском.
3. Необходимость инструментов контроля: системы для проверки зависимостей, блокировка подозрительных изменений, «заморозка» версий.
4. Пользовательский фактор. Атака требует согласия пользователя на транзакцию. Эксперты советуют тщательно проверять адреса и быть особенно внимательными к неожиданным запросам подписи.

Случай с NPM стал «учебной тревогой» для криптоотрасли. Мир избежал многомиллионных потерь лишь по случайности. Но чтобы не полагаться на везение в будущем, разработчикам придется всерьез укреплять безопасность и контроль над зависимостями.

Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.

The post Все, что известно о крупнейшей атаке на NPM: как вместо миллионов хакеры украли всего $50 appeared first on BeInCrypto.