Технический директор Ledger предупреждает пользователей об угрозе взлома цепочки поставок NPM, угрожающей безопасности криптовалют.

Крупномасштабное нарушение цепочки поставок потрясло сообщество с открытым исходным кодом после того, как хакеры скомпрометировали аккаунт уважаемого разработчика в Node Package Manager (NPM). Были затронуты широко используемые пакеты, что вызвало серьезные опасения во всей экосистеме JavaScript.

Взлом NPM вызывает опасения по поводу безопасности кошельков

Шарль Гийемет, технический директор Ledger, раскрыл масштаб угрозы. Он сообщил, что крупный аккаунт NPM был взломан, а затронутые пакеты уже были загружены более 1.1 миллиардов раз. Учитывая такой охват, он отметил, что вся экосистема JavaScript может быть подвержена риску. Вредоносный код работал незаметно, в реальном времени подменяя адреса криптовалютных кошельков для перенаправления средств злоумышленникам.

Гийемет призвал к осторожности. Он объяснил, что пользователи аппаратных кошельков остаются в безопасности, если внимательно проверяют каждую транзакцию перед подтверждением. Тем, кто использует программные кошельки, он рекомендовал воздержаться от on-chain транзакций, пока ситуация не прояснится. Он также отметил, что пока неясно, пытаются ли злоумышленники напрямую получить seed-фразы восстановления из программных кошельков.

Разработчик подтверждает захват аккаунта

Мейнтейнер, оказавшийся в центре инцидента, Josh Junon, подтвердил, что его аккаунт NPM был скомпрометирован. В посте на Bluesky он объяснил, что захват произошёл в результате фишинговой кампании. Злоумышленники создали поддельный домен, ‘support [at] npmjs [dot]’ help, который был похож на официальный сайт npmjs.com.

Мейнтейнеры получили угрожающие письма с утверждением, что их аккаунты будут заблокированы 10 сентября 2025 года. Эти сообщения содержали ссылки, ведущие на фишинговые сайты, предназначенные для кражи учетных данных. В поддельном письме говорилось:

Для поддержания безопасности и целостности вашего аккаунта мы просим вас как можно скорее завершить это обновление. Обратите внимание, что аккаунты с устаревшими 2FA-данными будут временно заблокированы с 10 сентября 2025 года для предотвращения несанкционированного доступа.

Вскоре другие разработчики также сообщили, что стали жертвами аналогичных атак, что подтвердило распространение фишинговой схемы за пределы одного мейнтейнера.

Ответ на взлом NPM и технический разбор

Команда NPM оперативно отреагировала после обнаружения взлома, удалив вредоносные версии, загруженные злоумышленниками. Среди удалённых оказался релиз пакета debug, который загружается сотни миллионов раз каждую неделю — примерно 357 миллионов.

Дальнейший анализ провела компания Aikido Security, и расследование выявило следующее:

• Злоумышленники добавили вредоносный код в файлы index.js захваченных пакетов. Это действовало как перехватчик браузера, перехватывая трафик и нацеливаясь на пользователей криптовалют.
• Вредоносное ПО внедрялось в браузеры и подключалось к функциям, таким как fetch, XMLHttpRequest, а также к API кошельков, например, window.ethereum и Solana, что давало ему доступ к веб- и кошелёчным операциям.
• После активации оно сканировало данные на наличие адресов кошельков в Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash. Обнаруженные адреса подменялись адресами, контролируемыми злоумышленниками, зачастую схожими по виду.
• Оно изменяло детали транзакций перед их подписанием, подменяя получателей, подтверждения или разрешения, при этом интерфейс выглядел нормально, а средства отправлялись злоумышленникам.
• Чтобы оставаться незаметным, оно избегало видимых изменений при наличии кошелька, работая тихо в фоновом режиме и манипулируя реальными транзакциями.

Призыв к усилению мер предосторожности

В комментариях CoinDesk Гийемет предупредил, что децентрализованные приложения или программные кошельки, включающие скомпрометированные пакеты, могут быть небезопасны, что подвергает пользователей криптовалют риску потери средств. Он подчеркнул, что самой надёжной защитой является аппаратный кошелёк с защищённым дисплеем, поддерживающим Clear Signing.

Этот подход позволяет пользователям проверять адрес и детали каждой транзакции непосредственно на экране устройства, гарантируя, что то, что они подтверждают, соответствует их намерениям.

Он добавил, что эта ситуация служит серьёзным напоминанием о важности основных практик: «всегда проверяйте свои транзакции, никогда не подписывайте вслепую». Он также рекомендовал использовать аппаратный кошелёк с защищённым дисплеем для обеспечения безопасности.