Крупнейшая атака на NPM: как хакеры вместо миллионов украли всего $50 — шокирующие детали

Киберпреступники рассчитывали на миллионы — получили стоимость ужина в фастфуде.

Атака на экосистему

NPM, крупнейший реестр JavaScript-пакетов, стал мишенью sophisticated-атаки. Злоумышленники скомпрометировали десятки популярных пакетов — рассчитывали на массовый слив средств из кошельков разработчиков.

Провал масштабного плана

Вместо ожидаемых миллионов долларов хакеры вывели лишь $50 — смехотворную сумму для операции такого уровня. Эксперты отмечают ироничную неэффективность: затраты на подготовку атаки явно превысили украденное.

Техника атаки

Злоумышленники использовали цепочку supply chain-компрометаций — подменяли легитимные пакеты вредоносными версиями. Код крал seed-фразы и приватные ключи — но сработал чудовищно неудачно.

Реакция индустрии

Команда NPM экстренно отозвала скомпрометированные пакеты, но инцидент вновь поднял вопросы о безопасности open-source экосистем. Разработчики требуют усилить верификацию пакетов.

Финансовый цинизм

Атака провалилась так же эпично, как и большинство «гарантированных» крипто-инвестиционных схем — напомнив всем, что даже в хакерстве есть свои «дорамы».

Как произошла атака

Атака началась со взлома аккаунта известного разработчика в NPM. Аббревиатурой называют крупнейший репозиторий пакетов JavaScript. NPM выполняет ту же функцию, что магазин приложений, только для программистов: в нем хранятся десятки тысяч небольших библиотек (утилит), которые затем используются как «кирпичики» для сборки крупных приложений.

Злоумышленники получили доступ к учетным данным и загрузили новые версии пакетов с добавленным вредоносным кодом. Такой тип атаки называется supply chain attack (атака на цепочку поставок ПО). Он опасен тем, что уязвимость распространяется «по цепочке» — не только на проекты, которые напрямую скачивают вредоносный пакет, но и на те, что используют другие библиотеки, зависящие от зараженных модулей.

В данном случае речь идет о небольших, но крайне распространенных утилитах:

• chalk — отвечает за раскраску текста в терминале;
• strip-ansi — удаляет специальные управляющие символы ANSI;
• color-convert — преобразует форматы цветовых значений.

На первый взгляд такие утилиты могут показаться незначительными, но они встроены в тысячи более сложных библиотек. В результате уязвимость может незаметно попасть даже в пакет, разработчики которого никогда напрямую не устанавливали зараженные файлы.

Разработчик и аналитик под ником 0xngmi поделился своим видением случившегося. По его словам, зараженные файлы могут внедрять вредоносный код в сайты. Например, при нажатии кнопки «swap» транзакция может быть подменена так, что средства отправятся злоумышленнику.

Однако пользователь в любом случае увидит подозрительную транзакцию в своем кошельке и должен будет ее одобрить. То есть мгновенной автоматической кражи средств не произойдет.

0xngmi отметил:

• уязвимы только те проекты, которые обновили код после публикации зараженного пакета;
• большинство разработчиков закрепляют версии зависимостей (сторонние программные библиотеки или пакеты, которые разработчик подключает к своему проекту, чтобы не писать каждую функцию с нуля), что снижает вероятность автоматического заражения;
• проекты, которые не обновляли зависимости, остаются безопасными.

Тем не менее обычные пользователи не могут быть уверены, как именно работает система обновлений у конкретного проекта. Поэтому, по мнению 0xngmi, наиболее безопасным решением остается временный отказ от использования криптосервисов до тех пор, пока разработчики не очистят свои проекты от вредоносных зависимостей.

Ущерб от атаки

По данным SEAL, вредоносный код нацелен на криптокошельки Ethereum и Solana. Внутри пакетов скрывалась программа-клиппер — разновидность вредоносного ПО, которая перехватывает операции с адресами кошельков. Когда пользователь копирует адрес для перевода средств, программа подменяет его на адрес атакующего.

Однако в реальности масштаб краж оказался мизерным. Исследователи выявили единственный подтвержденный злонамеренный адрес — 0xFc4a48. На него было переведено:

• около 5 центов в ETH;
• порядка $20 в одном из мемкоинов;
• еще несколько мелких токенов (Brett, Andy, Dork Lord, Ethervista, Gondola).

Итого — менее $50 ущерба.

Кто мог пострадать

Технически под угрозой оказались миллионы разработчиков и пользователей. Библиотеки, в которые внедрили вредоносный код, загружаются более миллиарда раз в неделю. Но риск оказался неравномерным:

• криптопроекты, особенно те, что автоматически обновляют зависимости. Если после публикации зараженного пакета они выпустили апдейт, в коде могли появиться скрытые механизмы кражи средств;
• конечные пользователи. Опасность возникает только если приложение пытается совершить транзакцию и пользователь подтверждает ее. Без подписи транзакции атака не срабатывает;
• разработчики кошельков и DeFi-платформ, так как атака направлена на фронтенд-приложения (веб-сайты, интерфейсы), где адреса копируются в буфер обмена.

Многие крупные игроки быстро заявили, что их продукты не пострадали:

• Ledger и MetaMask отметили, что используют многослойную защиту, предотвращающую подобные сценарии;
• Phantom Wallet сообщил, что его продукты не используют зараженные версии библиотек;
• Uniswap, Blast, Blockstream Jade, Revoke.cash и другие также подтвердили, что их сервисы не затронуты.

Технический директор Ledger Шарль Гийоме в своем комментарии уточнил, что вредоносный код работает путем подмены криптовалютных адресов. Пользователи аппаратных кошельков с функцией clear signing защищены, так как всегда видят конечный адрес на экране устройства. Но владельцам только программных кошельков он рекомендовал временно воздержаться от транзакций, пока угроза окончательно не устранена.

Возможные последствия и уроки для индустрии

Хотя реальный ущерб оказался минимальным, эксперты предупреждают: сама схема атаки демонстрирует огромный риск для всей криптоэкосистемы. Если бы злоумышленники действовали продуманнее, они могли бы получить доступ к миллионам рабочих станций разработчиков и потенциально украсть миллионы долларов.

Основные последствия:

Рост внимания к supply chain security. Даже маленькая библиотека может стать «троянским конем» для всей индустрии.

Ревизия процессов обновлений. Автоматическое подтягивание последних версий пакетов без проверки их целостности становится критическим риском.

Необходимость инструментов контроля: системы для проверки зависимостей, блокировка подозрительных изменений, «заморозка» версий.

Пользовательский фактор. Атака требует согласия пользователя на транзакцию. Эксперты советуют тщательно проверять адреса и быть особенно внимательными к неожиданным запросам подписи.

Случай с NPM стал «учебной тревогой» для криптоотрасли. Мир избежал многомиллионных потерь лишь по случайности. Но чтобы не полагаться на везение в будущем, разработчикам придется всерьез укреплять безопасность и контроль над зависимостями.

Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.