Технический директор Ledger Шарль Гийомmet предупредил о крупномасштабной атаке на цепочку поставок в экосистеме Node Package Manager (NPM) с открытым исходным кодом. В пакеты, скачанные более миллиарда раз, был внедрён вредоносный код.
Атака работает следующим образом: злоумышленники незаметно подменяют криптоадреса для кражи средств, используя доверенные каналы распространения. Это делает конечных пользователей уязвимыми, даже если их личные системы не были скомпрометированы.
Компрометация произошла в результате фишинговой атаки, которая обманом заставила разработчиков перейти по вредоносным ссылкам. Эксперты по безопасности советуют проявлять осторожность, пока не будет определена полная картина атаки.
В сообщении в X в понедельник Гийоммет сказал, что учётная запись разработчика в NPM была скомпрометирована, а злоумышленник вставил вредоносный код в широко используемые пакеты, которые были скачаны более миллиарда раз.
Вредоносная нагрузка позволяет хакерам изменять адреса кошельков назначения во время транзакций, перенаправляя средства без ведома пользователя. Гийоммет не раскрыл, какой аккаунт разработчика был взломан.
Связанные новости: генеральный директор Chainlink встречается с SEC, сигнализируя о сдвиге в сторону соответствия активов в сети
Вкладчик GCR 0x_ultra сообщил, что такие широко используемые пакеты, как Chalk, с более чем 2 миллиардами еженедельных загрузок, были скомпрометированы и могут «украсть все ваши приватные ключи».
Сопровождающий пакет подтвердил компрометацию аккаунта, заявив, что злоумышленники использовали фишинговые электронные письма, выдавая себя за домен npmjs.com, и угрожали блокировкой аккаунтов, чтобы обманом заставить сопровождающих перейти по вредоносным ссылкам.
Системные риски программного обеспечения с открытым исходным кодом
NPM — это основа для разработки на JavaScript, с библиотеками кода, интегрированными в бесчисленные веб-сайты и приложения, включая криптоплатформы. Компрометация на уровне пакетов может распространить уязвимости по всей отрасли.
Атаки на цепочку поставок отличаются от прямых взломов учётных записей пользователей или кошельков. Вместо этого они используют доверенные каналы распространения, что означает, что конечные пользователи могут быть подвержены риску, даже если их личные системы остаются незаражёнными.
Эта тактика аналогична методам, использованным в прошлых инцидентах, таким как связанный с Северной Кореей эксплойт в начале этого года, который вывел из строя 1,5 миллиарда долларов США на Bybit, захватив доверенные системы для перенаправления средств.
На данный момент лучше подождать, поскольку эксперты по безопасности предупредили, что до тех пор, пока не будет выявлен полный масштаб компрометации NPM, разработчики и пользователи криптовалют могут оказаться под угрозой.
Не является инвестиционной рекомендацией.