Компрометація ланцюга постачання NPM може наражати криптофонди на шкідливе ПЗ для підміни адрес, заявив CTO Ledger

• Зловмисна підміна адрес у веб-гаманцях націлена на криптотранзакції.

• Компрометовані пакети включають широко використовувані NPM-модулі, такі як “color-name” та “color-string”.

• Уражені пакети були завантажені понад 1.1 billions разів, що збільшує міжланцюгову експозицію.

Експлойт ланцюга постачання NPM: НЕ ПІДПИСУЙТЕ транзакції зараз — перевіряйте пакети та захищайте гаманці. Дізнайтеся про негайні захисні кроки.

Що таке експлойт ланцюга постачання NPM?

Експлойт ланцюга постачання NPM — це компрометація авторитетних облікових записів розробників, яка впроваджує шкідливий код у JavaScript-пакети. Цей код може непомітно підміняти криптовалютні адреси у веб-гаманцях і dApps, наражаючи кошти на різних блокчейнах на ризик.

Як були скомпрометовані JavaScript-пакети?

Дослідники з безпеки та експерти галузі повідомили, що авторитетний обліковий запис розробника на NPM був зламаний, що дозволило зловмисникам публікувати заражені оновлення. Шкідливий код розроблений для виконання у браузерах, які використовують криптосайти, і може змінювати адреси одержувачів під час транзакцій.

Які пакети та компоненти уражені?

Фірми з блокчейн-безпеки виявили близько двох десятків популярних NPM-пакетів, серед яких невеликі утилітарні модулі, такі як “color-name” та “color-string”. Оскільки NPM є центральним менеджером пакетів для JavaScript, багато сайтів і фронтенд-проєктів транзитивно використовують ці залежності.

Summary of reported risk by package Package Reported Downloads Risk Level

color-name	Hundreds of millions	High
color-string	Hundreds of millions	High
Other utility modules (collective)	1+ billion combined	Critical

Як користувачі криптовалют можуть захистити свої кошти прямо зараз?

Негайні дії: припиніть підписувати транзакції у веб-гаманцях, від’єднайте браузерні гаманці від dApps і уникайте взаємодії з сайтами, які використовують неперевірений JavaScript. Перевіряйте цілісність пакетів у середовищах розробки та застосовуйте суворі правила Content Security Policy (CSP) на контрольованих вами сайтах.

Яких запобіжних заходів мають дотримуватися розробники?

Розробники повинні фіксувати версії залежностей, перевіряти підписи пакетів (де це можливо), використовувати інструменти для сканування ланцюга постачання та проводити аудит останніх оновлень пакетів. Повернення до перевірених версій і відновлення з lockfile зменшує ризики. Для критичних фронтенд-бібліотек використовуйте відтворювані збірки та незалежну перевірку.

Часті питання

Наскільки загроза є негайною для звичайних користувачів криптовалют?

Загроза є негайною для користувачів, які взаємодіють із веб-гаманцями або dApps, що завантажують JavaScript із публічних пакетів. Якщо сайт залежить від заражених модулів, код для підміни адрес може виконуватися у браузері під час транзакцій.

Хто ідентифікував компрометацію і що вони сказали?

CTO Ledger Charles Guillemet публічно звернув увагу на проблему, відзначивши масштаб і механізм підміни адрес. Фірми з блокчейн-безпеки також повідомили про уражені модулі. Ці спостереження базуються на публічних постах і попередженнях від галузевих експертів.

Основні висновки

• Припиніть підписувати транзакції: уникайте підписання у веб-гаманцях, доки пакети не будуть перевірені.
• Аудит залежностей: розробники повинні фіксувати, підписувати та сканувати NPM-пакети, що використовуються у фронтенд-коді.
• Використовуйте захисні заходи: від’єднуйте гаманці, очищайте сесії, застосовуйте CSP та інструменти сканування ланцюга постачання.

Висновок

Експлойт ланцюга постачання NPM демонструє, як невеликі утилітарні пакети можуть створювати системний ризик для користувачів криптовалют через непомітну підміну адрес. Дотримуйтеся захисної позиції: припиніть підписувати транзакції, проводьте аудит залежностей і дотримуйтеся перевірених рекомендацій. COINOTAG оновить цей звіт, коли будуть опубліковані додаткові підтверджені технічні деталі та способи усунення (опубліковано 2025-09-08).