Хакери використовували фальшиві вебсайти, щоб вкрасти довірений акаунт npm і розповсюдити шкідливий код через популярні пакунки.
Крипто-гаманці, такі як MetaMask і Trust Wallet, можуть бути під загрозою, якщо вони використовували заражені бібліотеки JavaScript.
Користувачі повинні припинити підписувати транзакції та перевірити всі пакунки, якщо їхні програми нещодавно оновлено через npm.
Велика атака на ланцюг постачання скомпрометувала широко довірений акаунт npm JavaScript. Дослідники підтвердили, що шкідливий код вже заразив 18 популярних пакетів. Ці пакети були завантажені понад 2 мільярди разів лише за минулий тиждень. Уражені пакети містять код, здатний безшумно змінювати адреси крипто-гаманець.
Ця атака призначена для того, щоб відвернути транзакції без відома користувача. Навіть якщо користувачі підписують транзакцію, що виглядає правильно, кошти можуть все ще потрапити до хакера. Екосистема JavaScript знаходиться під загрозою через те, наскільки глибоко ці пакети інтегровані. Розробникам настійно рекомендується перевірити та видалити уражені залежності негайно.
Крипто-гаманці та екосистеми під загрозою
Атака впливає на багато відомих браузерних та десктопних гаманців. Такі як: MetaMask, Trust Wallet та Exodus. Апаратні гаманці залишаються більш безпечними, однак користувачі все ще повинні уважно перевіряти деталі транзакцій. Зловмисник використовує адреси гаманців, що схожі на справжні, щоб обманювати користувачів під час процесу підписання.
Тільки детальна перевірка символ за символом може виявити різницю. Більшість користувачів перевіряють лише перші та останні кілька символів адрес гаманців. Це робить їх вразливими до тактики підміни адрес. Автоматизовані скрипти та смарт-контракти також піддаються ризику, якщо вони покладаються на скомпрометовані бібліотеки.
Точка входу була скомпрометована акаунтом розробника
Злом почався, коли зловмисники отримали контроль над акаунтом довіреного утримувача npm. Дослідники вважають, що це було зроблено за допомогою фішингу та підроблених запитів двофакторної автентифікації.
Нещодавно дослідники з кібербезпеки помітили, що хакери приховали шкідливе ПЗ в Ethereum смарт-контрактах через пакети NPM, використовуючи URL-адреси блокчейну для обходу сканувань та доставки вторинних вантажів. Атакуючі створили підроблені репозиторії GitHub з фальшивими комітами та кількома акаунтами для підвищення довіри. Користувачі GitHub повідомили про підозрілі електронні листи, що маскуються під підтримку npm.
Атакуюча особа використала домен, який імітував справжній веб-сайт npm. Ці електронні листи загрожували заблокувати акаунти, щоб змусити розробників натискати на фішингові посилання. Після компрометації акаунт використовувався для оновлення кількох пакетів з шкідливими завантаженнями. Деякі пакети пізніше були виправлені, але інші залишаються небезпечними.
Попередження про безпеку та реакція розробника
Команди безпеки та дослідники попереджають користувачів уникати активності в мережі на даний момент. Крипто-користувачі повинні вимкнути браузерні гаманці та тимчасово припинити підписувати транзакції. Наразі не повідомлялося про великі втрати, але ризики залишаються високими.
Деякі платформи DeFi, включаючи Axiom та Kamino, підтвердили, що вони не використовували заражені пакунки. Проте, розробники повинні перевіряти всі залежності, особливо ті, що пов'язані з популярними бібліотеками, такими як Chalk. Подібну вразливість також було відзначено у 2024 році, коли хакери скористалися Lottie Player Java Script, скомпрометувавши акаунти на надійних DeFi сайтах, таких як 1inch.
Команда npm відключила відомі скомпрометовані версії, але нещодавні оновлення все ще можуть нести ризики. Повний масштаб атаки залишається невідомим. Загроза може розширитися, якщо більше акаунтів розробників стануть мішенню для використання подібних фішингових тактик.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Довірений обліковий запис NPM було викрадено для розповсюдження шкідливого коду, який загрожує Крипто-транзакціям та Гаманцям A...
Хакери використовували фальшиві вебсайти, щоб вкрасти довірений акаунт npm і розповсюдити шкідливий код через популярні пакунки.
Крипто-гаманці, такі як MetaMask і Trust Wallet, можуть бути під загрозою, якщо вони використовували заражені бібліотеки JavaScript.
Користувачі повинні припинити підписувати транзакції та перевірити всі пакунки, якщо їхні програми нещодавно оновлено через npm.
Велика атака на ланцюг постачання скомпрометувала широко довірений акаунт npm JavaScript. Дослідники підтвердили, що шкідливий код вже заразив 18 популярних пакетів. Ці пакети були завантажені понад 2 мільярди разів лише за минулий тиждень. Уражені пакети містять код, здатний безшумно змінювати адреси крипто-гаманець.
Ця атака призначена для того, щоб відвернути транзакції без відома користувача. Навіть якщо користувачі підписують транзакцію, що виглядає правильно, кошти можуть все ще потрапити до хакера. Екосистема JavaScript знаходиться під загрозою через те, наскільки глибоко ці пакети інтегровані. Розробникам настійно рекомендується перевірити та видалити уражені залежності негайно.
Крипто-гаманці та екосистеми під загрозою
Атака впливає на багато відомих браузерних та десктопних гаманців. Такі як: MetaMask, Trust Wallet та Exodus. Апаратні гаманці залишаються більш безпечними, однак користувачі все ще повинні уважно перевіряти деталі транзакцій. Зловмисник використовує адреси гаманців, що схожі на справжні, щоб обманювати користувачів під час процесу підписання.
Тільки детальна перевірка символ за символом може виявити різницю. Більшість користувачів перевіряють лише перші та останні кілька символів адрес гаманців. Це робить їх вразливими до тактики підміни адрес. Автоматизовані скрипти та смарт-контракти також піддаються ризику, якщо вони покладаються на скомпрометовані бібліотеки.
Точка входу була скомпрометована акаунтом розробника
Злом почався, коли зловмисники отримали контроль над акаунтом довіреного утримувача npm. Дослідники вважають, що це було зроблено за допомогою фішингу та підроблених запитів двофакторної автентифікації.
Нещодавно дослідники з кібербезпеки помітили, що хакери приховали шкідливе ПЗ в Ethereum смарт-контрактах через пакети NPM, використовуючи URL-адреси блокчейну для обходу сканувань та доставки вторинних вантажів. Атакуючі створили підроблені репозиторії GitHub з фальшивими комітами та кількома акаунтами для підвищення довіри. Користувачі GitHub повідомили про підозрілі електронні листи, що маскуються під підтримку npm.
Атакуюча особа використала домен, який імітував справжній веб-сайт npm. Ці електронні листи загрожували заблокувати акаунти, щоб змусити розробників натискати на фішингові посилання. Після компрометації акаунт використовувався для оновлення кількох пакетів з шкідливими завантаженнями. Деякі пакети пізніше були виправлені, але інші залишаються небезпечними.
Попередження про безпеку та реакція розробника
Команди безпеки та дослідники попереджають користувачів уникати активності в мережі на даний момент. Крипто-користувачі повинні вимкнути браузерні гаманці та тимчасово припинити підписувати транзакції. Наразі не повідомлялося про великі втрати, але ризики залишаються високими.
Деякі платформи DeFi, включаючи Axiom та Kamino, підтвердили, що вони не використовували заражені пакунки. Проте, розробники повинні перевіряти всі залежності, особливо ті, що пов'язані з популярними бібліотеками, такими як Chalk. Подібну вразливість також було відзначено у 2024 році, коли хакери скористалися Lottie Player Java Script, скомпрометувавши акаунти на надійних DeFi сайтах, таких як 1inch.
Команда npm відключила відомі скомпрометовані версії, але нещодавні оновлення все ще можуть нести ризики. Повний масштаб атаки залишається невідомим. Загроза може розширитися, якщо більше акаунтів розробників стануть мішенню для використання подібних фішингових тактик.