Технический директор Ledger предупреждает держателей кошельков после взлома аккаунта NPM

• Крупная атака затронула инструменты JavaScript, которые используются миллионами пользователей на криптоплатформах.
• Технический директор Ledger посоветовал пользователям проверять каждую транзакцию и избегать слепого подписания.
• Разработчикам было рекомендовано обезопасить пакеты и прекратить автоматические обновления до завершения исправлений.

Масштабная атака на цепочку поставок в экосистеме JavaScript потрясла криптоиндустрию, выявив хрупкие зависимости в её инфраструктуре. 8 сентября 2025 года технический директор Ledger, Charles Guillemet, подтвердил, что злоумышленники взломали аккаунт уважаемого разработчика в NPM (Node Package Manager). Скомпрометированный аккаунт позволил хакерам внедрить вредоносное ПО типа “crypto-clipper” в широко используемые JavaScript-пакеты. 

Эти заражённые библиотеки, включая chalk, debug, strip-ansi и color-convert, в совокупности были скачаны более одного миллиарда раз, что демонстрирует огромный масштаб угрозы. По словам Guillemet, вредоносный код незаметно подменяет адреса криптокошельков во время транзакций, отправляя средства на счета, контролируемые злоумышленниками. Это означает, что ничего не подозревающие пользователи могут завершать транзакции, считая их легитимными, но при этом неосознанно терять свои активы.

Пострадавшие инструменты были далеко не малоизвестными. Такие библиотеки, как Chalk и Debug, поддерживают множество децентрализованных приложений и криптоплатформ, и, следовательно, тесно связаны с ежедневной работой экосистемы. Взлом этих библиотек показал, что одна уязвимость может быстро затронуть миллионы кошельков и приложений.

Срочные предупреждения от технического директора Ledger

Guillemet не назвал разработчика, чей аккаунт был скомпрометирован. Тем не менее, он ясно дал понять, что угроза носит масштабный характер. “Это атака на цепочку поставок в крупном масштабе. Вся экосистема JavaScript может быть под угрозой”, — написал он в своём официальном предупреждении.

Он подчеркнул важность использования аппаратных кошельков с защищёнными экранами, поддерживающими Clear Signing. “Единственный надёжный способ противостоять этому — использовать аппаратный кошелёк с защищённым экраном и поддержкой clear signing”, — сказал он. “Это позволит пользователю видеть, на какие именно адреса отправляются средства, и убедиться, что они совпадают с ожидаемыми.”

Он продолжил: “Аппаратные кошельки без защищённых экранов и любые кошельки, не поддерживающие clear signing, находятся в зоне высокого риска, так как невозможно точно проверить корректность деталей транзакции.”

В заключение он напомнил: “Это повод напомнить всем: всегда проверяйте свои транзакции, никогда не подписывайте их вслепую, используйте аппаратный кошелёк с защищённым экраном и подтверждайте каждую транзакцию с помощью Clear Sign.”

Реакция разработчиков и более широкие последствия

После раскрытия информации разработчикам было рекомендовано закрепить безопасные версии зависимостей, защитить lock-файлы и приостановить автоматические обновления пакетов до дальнейших указаний. Эти меры направлены на сдерживание ущерба, пока по всей экосистеме проводятся аудиты и очистка. Известные представители сообщества крипторазработчиков также посоветовали пользователям воздержаться от взаимодействия с криптосайтами до устранения уязвимостей.

Связано: Разработчики Ripple защищают XRP Ledger после оценки Kaiko

Этот инцидент показал, что даже такие критически важные поставщики кошельков, как Ledger, зависят от программных слоёв, находящихся вне их непосредственного контроля. Если такие слои будут скомпрометированы, последствия могут быть разрушительными. Миллионы пользователей и цифровые активы на сумму в миллиарды могут оказаться под угрозой всего за несколько часов.

Обновление по атаке на NPM

Согласно последнему обновлению от Guillemet, атака провалилась и практически не имела жертв. Всё началось с фишингового письма с поддельного домена поддержки npm, которое позволило злоумышленникам получить доступ к учётным данным и публиковать вредоносные обновления пакетов. Внедрённый код был нацелен на веб-криптоактивность, внедряясь в Ethereum, Solana и другие сети для перехвата транзакций путём подмены адресов кошельков непосредственно в сетевых ответах. Однако ошибки злоумышленников привели к сбоям в CI/CD-пайплайнах, что позволило быстро обнаружить атаку и ограничить её последствия.

Guillemet подчеркнул, что если ваши средства находятся в программном кошельке или на бирже, вы находитесь всего в одном шаге от потери всего. Компрометация цепочки поставок остаётся мощным каналом доставки вредоносного ПО, а целевые атаки становятся всё более частыми. Он также отметил, что аппаратные кошельки созданы для противостояния таким угрозам. Такие функции, как Clear Signing, позволяют точно подтвердить происходящее, а Transaction Checks выявляют подозрительную активность до того, как станет слишком поздно.

Публикация Ledger CTO Warns Wallet Holders After NPM Account Hack впервые появилась на Cryptotale.