Хакеры использовали поддельные веб-сайты, чтобы украсть доверенный npm счет и распространить вредоносный код через популярные пакеты.
Криптокошельки, такие как MetaMask и Trust Wallet, могут быть под угрозой, если они использовали зараженные библиотеки JavaScript.
Пользователям следует прекратить подписывать транзакции и проверить все пакеты, если их приложения недавно обновились через npm.
Крупная атака на цепочку поставок скомпрометировала широко доверяемый npm JavaScript счет. Исследователи подтвердили, что вредоносный код уже заразил 18 популярных пакетов. Эти пакеты были загружены более 2 миллиардов раз только за последнюю неделю. Зараженные пакеты содержат код, способный незаметно менять адреса криптовалютных кошельков.
Эта атака направлена на отвлечение транзакций без ведома пользователя. Даже если пользователи подписывают транзакцию, которая выглядит правильно, средства все равно могут попасть к злоумышленнику. Экосистема JavaScript находится под угрозой из-за того, насколько глубоко эти пакеты интегрированы. Разработчиков призывают немедленно провести аудит и удалить затронутые зависимости.
Крипто-кошельки и экосистемы под угрозой
Атака затрагивает многие известные браузерные и десктопные кошельки. Такие как: MetaMask, Trust Wallet и Exodus. Аппаратные кошельки остаются более безопасными, однако пользователи все равно должны внимательно проверять детали транзакций. Нападающий использует адреса кошельков, похожие на оригинальные, чтобы обмануть пользователей в процессе подписания.
Только детальная проверка символов может выявить разницу. Большинство пользователей проверяют только первые и последние несколько символов адресов кошельков. Это делает их уязвимыми для тактики замены адресов. Автоматизированные скрипты и смарт-контракты также подвержены риску, если они полагаются на скомпрометированные библиотеки.
Точка входа была скомпрометированным счетом разработчика
Нарушение безопасности началось, когда злоумышленники получили контроль над счетом доверенного мейнтейнера npm. Исследователи считают, что это было сделано с помощью фишинга и поддельных запросов двухфакторной аутентификации.
Недавно исследователи в области кибербезопасности заметили, что хакеры скрыли вредоносное ПО в смарт-контрактах Ethereum через пакеты NPM, используя блокчейн-URL для обхода проверок и доставки вторичных payload. Нападающие создали поддельные репозитории на GitHub с фабрикованными коммитами и несколькими счетами для повышения доверия. Пользователи GitHub сообщили о подозрительных электронных письмах, которые притворялись письмами от поддержки npm.
Атакующий использовал домен, который имитировал настоящий сайт npm. Эти электронные письма угрожали заблокировать счета, чтобы заставить разработчиков кликать на фишинговые ссылки. После компрометации счет использовался для обновления нескольких пакетов с вредоносными загрузками. Некоторые пакеты были позднее исправлены, но другие остаются небезопасными.
Предупреждения о безопасности и ответ разработчика
Команды безопасности и исследователи предупреждают пользователей избегать активности в сети на данный момент. Пользователи криптовалюты должны отключить кошельки в браузере и временно прекратить подписывать транзакции. Пока не было сообщено о крупных потерях, но риски остаются высокими.
Некоторые DeFi платформы, включая Axiom и Kamino, подтвердили, что они не использовали зараженные пакеты. Тем не менее, разработчики должны проверить все зависимости, особенно те, которые связаны с популярными библиотеками, такими как Chalk. Этот вид уязвимости также был отмечен в 2024 году, когда хакеры использовали Lottie Player Java Script, скомпрометировав кошельки на доверенных DeFi сайтах, таких как 1inch.
Команда npm отключила известные скомпрометированные версии, но недавние обновления все еще могут представлять риск. Полный масштаб атаки остается неизвестным. Угроза может расшириться, если больше учетных записей разработчиков будут нацелены с использованием аналогичных фишинговых тактик.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Доверенная учетная запись NPM была захвачена для распространения вредоносного кода, который угрожает Крипто-транзакциям и Кошелькам A...
Хакеры использовали поддельные веб-сайты, чтобы украсть доверенный npm счет и распространить вредоносный код через популярные пакеты.
Криптокошельки, такие как MetaMask и Trust Wallet, могут быть под угрозой, если они использовали зараженные библиотеки JavaScript.
Пользователям следует прекратить подписывать транзакции и проверить все пакеты, если их приложения недавно обновились через npm.
Крупная атака на цепочку поставок скомпрометировала широко доверяемый npm JavaScript счет. Исследователи подтвердили, что вредоносный код уже заразил 18 популярных пакетов. Эти пакеты были загружены более 2 миллиардов раз только за последнюю неделю. Зараженные пакеты содержат код, способный незаметно менять адреса криптовалютных кошельков.
Эта атака направлена на отвлечение транзакций без ведома пользователя. Даже если пользователи подписывают транзакцию, которая выглядит правильно, средства все равно могут попасть к злоумышленнику. Экосистема JavaScript находится под угрозой из-за того, насколько глубоко эти пакеты интегрированы. Разработчиков призывают немедленно провести аудит и удалить затронутые зависимости.
Крипто-кошельки и экосистемы под угрозой
Атака затрагивает многие известные браузерные и десктопные кошельки. Такие как: MetaMask, Trust Wallet и Exodus. Аппаратные кошельки остаются более безопасными, однако пользователи все равно должны внимательно проверять детали транзакций. Нападающий использует адреса кошельков, похожие на оригинальные, чтобы обмануть пользователей в процессе подписания.
Только детальная проверка символов может выявить разницу. Большинство пользователей проверяют только первые и последние несколько символов адресов кошельков. Это делает их уязвимыми для тактики замены адресов. Автоматизированные скрипты и смарт-контракты также подвержены риску, если они полагаются на скомпрометированные библиотеки.
Точка входа была скомпрометированным счетом разработчика
Нарушение безопасности началось, когда злоумышленники получили контроль над счетом доверенного мейнтейнера npm. Исследователи считают, что это было сделано с помощью фишинга и поддельных запросов двухфакторной аутентификации.
Недавно исследователи в области кибербезопасности заметили, что хакеры скрыли вредоносное ПО в смарт-контрактах Ethereum через пакеты NPM, используя блокчейн-URL для обхода проверок и доставки вторичных payload. Нападающие создали поддельные репозитории на GitHub с фабрикованными коммитами и несколькими счетами для повышения доверия. Пользователи GitHub сообщили о подозрительных электронных письмах, которые притворялись письмами от поддержки npm.
Атакующий использовал домен, который имитировал настоящий сайт npm. Эти электронные письма угрожали заблокировать счета, чтобы заставить разработчиков кликать на фишинговые ссылки. После компрометации счет использовался для обновления нескольких пакетов с вредоносными загрузками. Некоторые пакеты были позднее исправлены, но другие остаются небезопасными.
Предупреждения о безопасности и ответ разработчика
Команды безопасности и исследователи предупреждают пользователей избегать активности в сети на данный момент. Пользователи криптовалюты должны отключить кошельки в браузере и временно прекратить подписывать транзакции. Пока не было сообщено о крупных потерях, но риски остаются высокими.
Некоторые DeFi платформы, включая Axiom и Kamino, подтвердили, что они не использовали зараженные пакеты. Тем не менее, разработчики должны проверить все зависимости, особенно те, которые связаны с популярными библиотеками, такими как Chalk. Этот вид уязвимости также был отмечен в 2024 году, когда хакеры использовали Lottie Player Java Script, скомпрометировав кошельки на доверенных DeFi сайтах, таких как 1inch.
Команда npm отключила известные скомпрометированные версии, но недавние обновления все еще могут представлять риск. Полный масштаб атаки остается неизвестным. Угроза может расшириться, если больше учетных записей разработчиков будут нацелены с использованием аналогичных фишинговых тактик.