Злоумышленники взломали популярного разработчика на платформе NPM и внедрили в пакеты JavaScript вредоносный код для опустошения криптокошельков. Об этом сообщил технический директор Ledger Шарль Гийме.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.The malicious payload works…— Charles Guillemet (@P3b7_) September 8, 2025
«Произошла масштабная атака на цепочку поставок: был скомпрометирован аккаунт авторитетного разработчика на NPM. Затронутые пакеты уже скачали более миллиарда раз, что означает угрозу для всей экосистемы JavaScript», — написал он.
Скомпрометированным разработчиком оказался Джош Джунон. Он отметил, что подвергся фишинговой атаке. На его почту пришло письмо якобы от поддержки NPM с требованием обновить 2FA под угрозой блокировки аккаунта. Он перешел по ссылке, позволив хакерам получить прямой доступ к популярным пакетам вроде Chalk.
Пользователь под ником JD подчеркнул, что атака началась с необычного сбоя в системе сборки (CI/CD). Впоследствии он и его коллега обнаружили «намеренно запутанный код», сложный для понимания.
«Злоумышленник встроил в код вредоносную программу, которая ищет и крадет криптовалюту. Вызов функции fetch, из-за которого сломалась наша сборка, был попыткой этой программы отправить украденные данные. Сборка провалилась только потому, что версия Node.js была устаревшей и не поддерживала функцию fetch. В более современной среде атака могла бы остаться незамеченной», — добавил он.
Как работает вредонос и что делать для защиты
Гийме отметил, что в зоне риска — пользователи программных кошельков. Те, кто подтверждает каждую транзакцию на аппаратном устройстве, более защищены.
По словам основателя DeFi Llama под псевдонимом 0xngmi, вредоносный код не опустошает кошельки автоматически — пользователям все равно нужно подтверждать транзакцию.
Explanation of the current npm hackIn any website that uses this hacked dependency, it gives a chance to the hacker to inject malicious code, so for example when you click a "swap" button on a website, the code might replace the tx sent to your wallet with a tx sending money to…— 0xngmi (@0xngmi) September 8, 2025
«Хакер может внедрить зараженный код в любой сайт, который использует взломанную зависимость npm. Например, когда вы нажимаете кнопку „обмен“, вредонос может подменить транзакцию и отправить деньги хакеру. Однако в кошельке вы все равно увидите эту подозрительную операцию и должны будете ее одобрить — ваши средства не уведут мгновенно», — заявил он.
JD пояснил, что малварь автоматически подменяет криптовалютные адреса при проведении транзакций двумя способами:
пассивный: если на сайте не обнаружен кошелек, зараженный код изменял базовые функции браузера. Чтобы подмена была менее заметной, использовался алгоритм Левенштейна для поиска максимально похожего адреса из списка злоумышленников;
активный: вредонос вмешивался в процесс подписания транзакций и в последний момент подменял адрес получателя. Если пользователь не проверял данные вручную, средства уходили хакерам.
«Атака нацелена на кражу BTC, ETH, SOL, TRX, LTC и BCH. Экран финального подтверждения — ваша последняя линия защиты. Внимательно проверяйте каждый символ адреса получателя в приложении или на экране аппаратного кошелька перед подтверждением любой транзакции», — отметил руководитель отдела развития экосистемы Okto Минал Тукрал.
Разработчик под ником ultra заявил, что пакеты исправили 8 сентября в 15:15 UTC.
ok so just to clarify, the update to these packages started today around 13:16 UTC and was patched around 15:15 UTC (i was coding around this time)it seems to mostly be a browser interceptor basically overriding transactions on frontends with this dependency however we don't…— ultra (@0x_ultra) September 8, 2025
Инженер-программист под псевдонимом cygaar подтвердил, что команда NPM отключила скомпрометированные версии пакетов.
По данным Security Alliance, ущерб от атаки пока ограничился $50.
Напомним, исследователи компании ReversingLabs обнаружили вредонос в репозитории NPM, который использовал смарт-контракты Ethereum для сокрытия команд и загрузки вируса.
