Хакеры заразили ключевые JS-библиотеки в NPM, Ledger предупреждает об угрозе

Технический директор Ledger Чарльз Гильмет сообщил о масштабной атаке на экосистему JavaScript: хакеры взломали аккаунт разработчика qix в NPM и внедрили вредоносный код в десятки популярных библиотек.

«Вредоносный код подменяет криптоадреса “на лету”, чтобы похищать средства. Если у вас есть аппаратный кошелек — проверяйте каждую транзакцию перед подписанием. Если его нет, лучше временно воздержаться от ончейн-операций», — предупредил Гильмет.

В список пострадавших вошли ключевые пакеты: chalk (300 млн загрузок в неделю), strip-ansi (261 млн), color-convert (193 млн), color-name (191 млн), is-core-module (69 млн) и другие.

Атака оставалась незамеченной, пока разработчики не столкнулись с ошибкой при сборке. Расследование выявило скрытый обфускованный код (например, функцию checkethereumw), предназначенный для кражи криптовалют.

Хотя в итоге злоумышленники похитили лишь около $50 в Ethereum и мемкоинах, эксперты предупреждают о потенциально катастрофических последствиях.

«Компрометация аккаунта разработчика, чьи пакеты загружаются миллиарды раз, может открыть доступ к миллионам рабочих станций», — отметили в Security Alliance.

NPM Security уже удалила зараженные версии, но пользователям советуют провести аудит проектов и закрепить зависимости на безопасных версиях.