Значительная атака на цепочку поставок вызвала тревогу в сообществе криптовалют, особенно после того, как учётная запись разработчика Qix в Node Package Manager (NPM) была скомпрометирована.
Предупреждение от Ledger CTO
Шарль Гильемен, технический директор компании Ledger, производителя аппаратных кошельков, выступил с резким предупреждением для криптоинвесторов в недавнем посте в социальной сети X (ранее Twitter).
Он подчеркнул потенциальные риски, связанные с этим нарушением, отметив, что затронутые пакеты были загружены более миллиарда раз, что поставило под угрозу всю экосистему JavaScript.
Обнаружена вредоносная программа Crypto Clipper
Согласно отчёту о расследовании, вредоносный код, внедренный в ходе этой атаки, функционирует как «крипто-клипер» — тип вредоносного ПО, предназначенный для перехвата и изменения криптовалютных транзакций.
Вредоносный код действует путём незаметной замены адресов кошельков в сетевых запросах, фактически перенаправляя средства с законных кошельков на кошельки, контролируемые злоумышленником.
Для пользователей аппаратных кошельков Гильемен посоветовал уделять пристальное внимание каждой транзакции перед подписанием. В то же время он призвал людей, не использующих аппаратные кошельки, воздержаться от любых транзакций в сети до полного разрешения ситуации.
Срочные меры безопасности
В свете нарушения криптоэксперт подтвердил, что они сотрудничают с командой безопасности NPM для решения проблемы. Хотя вредоносный код был удалён из большинства скомпрометированных пакетов, ситуация остаётся нестабильной.
Атака на цепочку поставок затронула разработчика, известного как Qix, что привело к публикации вредоносных версий многочисленных высоконагруженных пакетов. Учитывая, что суммарное количество еженедельных загрузок этих затронутых пакетов превышает миллиард, потенциальное воздействие на экосистему JavaScript является существенным.
Чтобы снизить риски, Гильемен подчеркнул важность немедленного аудита зависимостей проекта. Разработчикам рекомендуется закрепить все затронутые пакеты за их последними известными безопасными версиями с помощью функции overrides в файлах package.json.
Не является инвестиционной рекомендацией.