В последние дни экосистема JavaScript/Node.js столкнулась с одной из крупнейших атак на цепочку поставок ПО. Злоумышленники получили доступ к учетной записи популярного разработчика на платформе NPM и внедрили вредоносный код в ключевые библиотеки, от которых зависят миллионы проектов по всему миру.
Масштабное заражение через npm
В результате фишинговой атаки были скомпрометированы десятки популярных npm-пакетов, среди которых — такие фундаментальные инструменты, как ‘chalk’, ‘strip-ansi’, ‘color-convert’ и ‘color-name’. По оценкам специалистов, совокупное количество загрузок затронутых библиотек превышает миллиард в неделю. Это означает, что потенциально под угрозой оказались не только криптовалютные приложения, но и обычные веб-сервисы, серверные решения и мобильные приложения на базе JavaScript.
Механизм работы вредоносного ПО
Вредоносный код представляет собой так называемый «crypto-clipper» — программу, предназначенную для кражи криптовалюты путем подмены адресов кошельков в сетевых запросах. Особенности атаки:
- Перехват функций работы с кошельками (например, отправка и запрос средств)
- Подмена адресов получателей в транзакциях Ethereum и Solana на собственные адреса злоумышленников
- Использование алгоритмов для подбора максимально похожих адресов, чтобы жертва не заметила подмену
- Обфускация кода для обхода антивирусных решений
Если в браузере не обнаруживается расширение кошелька, вредонос внедряет свои адреса во все сетевые запросы. При наличии кошелька — вмешивается непосредственно в процесс подписания транзакций.
Рекомендации и последствия
Эксперты советуют тщательно проверять все транзакции, особенно при использовании аппаратных кошельков. Крупные сервисы, такие как Uniswap и Blockstream, уже подтвердили отсутствие уязвимых версий в своих продуктах. Тем не менее, всем разработчикам и пользователям рекомендуется проявлять максимальную осторожность при работе с JavaScript-пакетами и временно воздержаться от проведения криптовалютных операций в подозрительных приложениях.
Комментариев пока нет