Atak na NPM: hakerzy zainfekowali biblioteki JS, Ledger ostrzega

Dyrektor techniczny Ledger, Charles Guillemet, poinformował o poważnym ataku na łańcuch dostaw w ekosystemie JavaScript. Hakerzy przejęli konto dewelopera qix w NPM i dodali złośliwy kod do wielu popularnych bibliotek.

„Kod podmienia adresy kryptowalut w locie, aby kraść środki. Jeśli masz portfel sprzętowy — sprawdzaj każdą transakcję. Jeśli nie, lepiej tymczasowo wstrzymać się od transakcji on-chain” — ostrzegł Guillemet.

Zainfekowane zostały m.in. chalk (300 mln pobrań tygodniowo), strip-ansi (261 mln), color-convert (193 mln), color-name (191 mln) i inne.

Atak wyszedł na jaw dopiero po tym, jak zespół programistów natrafił na nietypowy błąd podczas kompilacji. Analiza wykazała obecność ukrytego kodu (np. funkcji checkethereumw), który miał kraść kryptowaluty.

Choć hakerzy zdobyli zaledwie ok. $50 w Ethereum i memecoinach, eksperci ostrzegają, że potencjalne skutki byłyby katastrofalne.

„Kompromitacja konta dewelopera, którego pakiety są pobierane miliardy razy, może otworzyć dostęp do milionów komputerów” — podkreślili specjaliści z Security Alliance.

Zespół NPM Security usunął większość zainfekowanych wersji, a użytkownikom zalecono aktualizację i audyt zależności.