Технический директор Ledger Шарль Гийеме (Charles Guillemet) призвал пользователей временно прекратить блокчейн-транзакции из-за масштабной атаки на программную инфраструктуру, которая затронула экосистему JavaScript.
Миллиарды загрузок под угрозой
«Происходит масштабная атака на программную инфраструктуру: аккаунт авторитетного разработчика в NPM был скомпрометирован. Зараженные пакеты уже скачали более миллиарда раз, что означает угрозу для всей экосистемы JavaScript», — заявил Гийеме в соцсети X.
Атака на программную инфраструктуру — это когда хакеры взламывают не конечных пользователей, а компрометируют сам процесс разработки и распространения программного обеспечения. В данном случае хакер получил контроль над аккаунтом доверенного разработчика на NPM — популярной платформы, где программисты делятся кодом для JavaScript-проектов. Скомпрометированные пакеты могли затронуть бесчисленное количество сайтов и приложений, включая криптовалютные проекты.
Подмена адресов на лету
Вредоносный код работает по простой схеме: незаметно подменяет криптовалютные адреса, заставляя пользователей отправлять средства хакеру вместо предполагаемого получателя. Подобная тактика уже использовалась северокорейскими хакерами, которые украли $1,5 миллиарда с криптобиржи Bybit в этом году.
«Если вы используете аппаратный кошелек, внимательно проверяйте каждую транзакцию перед подписанием — тогда вы в безопасности. Если аппаратного кошелька нет, пока воздержитесь от транзакций в блокчейне», — предупредил технический директор Ledger.
Масштаб инцидента
Пользователь 0x_ultra сообщил, что программный пакет Chalk и зависимые от него проекты с более чем двумя миллиардами еженедельных загрузок были взломаны и «крадут все ваши приватные ключи». Некоторые эксперты называют это событие «крупнейшей атакой на программную инфраструктуру в истории».
Разработчик пакетов, чьи аккаунты были скомпрометированы, подтвердил инцидент в Bluesky. По данным Bleeping Computer, атакующие использовали фишинговые письма с поддельного домена, имитирующего легитимный npmjs.com. В письмах угрожали заблокировать аккаунты разработчиков 10 сентября 2025 года, чтобы заставить их перейти по вредоносной ссылке.
Меры реагирования
Согласно данным 0x_ultra, программные пакеты были исправлены около 18:15 по московскому времени 8 сентября, хотя фронтенды сайтов могли остаться уязвимыми. NPM отключил скомпрометированные версии пакетов, но приложения, которые обновлялись в последние часы, все еще находятся под угрозой.
Пользователи Ledger и других аппаратных кошельков, обеспечивающих проверку подписываемых транзакций, находятся в безопасности, подчеркнул Гийеме. Разработчикам рекомендуется проверить проверить все внешние компоненты своих проектов.
Инцидент демонстрирует уязвимость современной программной экосистемы, где один скомпрометированный аккаунт может затронуть миллиарды загрузок ПО по всему миру.
▼
Самые интересные и важные новости на нашем канале в Telegram
