Хакери зламали NPM-пакети: Ledger застерігає від ризику для криптовалют

Технічний директор Ledger Шарль Гільме повідомив про «масштабну атаку на ланцюг постачання» у JavaScript-екосистемі. Хакери отримали доступ до акаунта розробника qix в NPM і додали шкідливий код у десятки популярних пакетів.

«Шкідливий код підміняє криптоадреси під час операцій, щоб викрасти кошти. Якщо ви користуєтеся апаратним гаманцем — уважно перевіряйте транзакції. Якщо ні, краще тимчасово утриматися від ончейн-переказів», — наголосив Гільме.

Під загрозою опинилися ключові пакети: chalk (300 млн завантажень на тиждень), strip-ansi (261 млн), color-convert (193 млн), color-name (191 млн) тощо.

Атака залишалася непоміченою, доки одна з команд не виявила дивну помилку під час збірки. Подальший аналіз показав обфускований код, зокрема функцію checkethereumw, яка намагалася викрасти криптовалюту.

Хоча зловмисникам вдалося отримати лише близько $50, фахівці попереджають, що масштаб компрометації міг бути значно серйознішим.

«Злам акаунта розробника з мільярдними завантаженнями пакетів може поставити під загрозу мільйони пристроїв», — заявили в Security Alliance.

NPM Security вже видалила більшість заражених версій, але експерти радять оновити залежності та провести аудит проєктів.