Технічний директор Ledger попереджає власників гаманців після зламу облікового запису NPM

• Велика атака вразила JavaScript-інструменти, які використовують мільйони користувачів на криптоплатформах.
• CTO Ledger порадив користувачам перевіряти кожну транзакцію та уникати сліпого підпису.
• Розробникам було рекомендовано захистити пакети та призупинити автоматичні оновлення до завершення виправлень.

Масштабна атака на ланцюжок постачання в екосистемі JavaScript сколихнула криптоіндустрію, виявивши крихкі залежності в її інфраструктурі. 8 вересня 2025 року технічний директор Ledger, Charles Guillemet, підтвердив, що зловмисники зламали обліковий запис авторитетного розробника в NPM (Node Package Manager). Скомпрометований обліковий запис дозволив хакерам впровадити шкідливе програмне забезпечення "crypto-clipper" у широко використовувані JavaScript-пакети. 

Ці заражені бібліотеки, включаючи chalk, debug, strip-ansi та color-convert, разом мають понад 1 мільярд завантажень, що демонструє величезний масштаб впливу. За словами Guillemet, шкідливий код непомітно підміняє адреси криптогаманців під час транзакцій, надсилаючи кошти на рахунки, контрольовані зловмисниками. Це означає, що нічого не підозрюючі користувачі можуть завершувати транзакції, вважаючи їх легітимними, але при цьому непомітно втрачати активи.

Уражені інструменти аж ніяк не були маловідомими. Такі бібліотеки, як Chalk і Debug, підтримують численні децентралізовані додатки та криптоплатформи і, таким чином, тісно пов’язані з повсякденною роботою екосистеми. Злам цих бібліотек показав, що один прорив може швидко вплинути на мільйони гаманців і додатків.

Термінові попередження від CTO Ledger

Guillemet не назвав розробника, чий обліковий запис було скомпрометовано. Проте він чітко дав зрозуміти, що загроза є масштабною. “Це атака на ланцюжок постачання великого масштабу. Вся екосистема JavaScript може бути під загрозою”, — написав він у своєму офіційному попередженні.

Він наголосив на важливості використання апаратних гаманців із захищеними екранами, які підтримують Clear Signing. “Єдиний надійний спосіб протидіяти цьому — використовувати апаратний гаманець із захищеним екраном, який підтримує clear signing”, — сказав він. “Це дозволить користувачеві бачити, на які саме адреси надсилаються кошти, і переконатися, що вони збігаються з призначеними адресами.”

Він продовжив: “Апаратні гаманці без захищених екранів і будь-які гаманці, які не підтримують clear signing, знаходяться під високим ризиком, оскільки неможливо точно перевірити, чи правильні деталі транзакції.”

Нарешті, він зробив широке нагадування: “Це нагода нагадати всім: завжди перевіряйте свої транзакції, ніколи не підписуйте сліпо, використовуйте апаратний гаманець із захищеним екраном і підписуйте все через Clear Sign.”

Реакція розробників і ширші наслідки

Після розголошення розробникам було рекомендовано закріпити безпечні версії залежностей, захистити lockfiles і призупинити автоматичне оновлення пакетів до подальших вказівок. Ці заходи спрямовані на обмеження шкоди, поки в екосистемі тривають аудити та очищення. Відомі представники спільноти крипторозробників також порадили користувачам утриматися від взаємодії з криптосайтами, поки вразливості не будуть усунені.

Дивіться також: Ripple Developers Defend XRP Ledger Amid Kaiko Assessment

Ця подія показала, що навіть критичні провайдери гаманців, такі як Ledger, залежать від програмних шарів, які знаходяться поза їхнім безпосереднім контролем. Якщо такі шари будуть скомпрометовані, наслідки можуть бути катастрофічними. Мільйони користувачів і цифрові цінності на мільярди можуть опинитися під загрозою за лічені години.

Оновлення щодо атаки на NPM

Згідно з останнім оновленням від Guillemet, атака зазнала невдачі і майже не мала жертв. Вона почалася з фішингового листа з фальшивого домену підтримки npm, який вкрав облікові дані, надавши зловмисникам доступ для публікації шкідливих оновлень пакетів. Впроваджений код був націлений на веб-криптоактивність, інтегруючись у Ethereum, Solana та інші ланцюги для перехоплення транзакцій шляхом заміни адрес гаманців безпосередньо у відповідях мережі. Однак помилки зловмисників спричинили збої в CI/CD-пайплайнах, що призвело до раннього виявлення та обмежило вплив.

Guillemet підкреслив, що якщо ваші кошти знаходяться у програмному гаманці або на біржі, ви на відстані одного виконання коду від втрати всього. Компрометація ланцюжка постачання залишається потужним каналом доставки шкідливого ПЗ, а цільові атаки зростають. Він також наголосив, що апаратні гаманці створені для протистояння цим загрозам. Такі функції, як Clear Signing, дозволяють вам точно підтвердити, що відбувається, а Transaction Checks сигналізують про підозрілу активність до того, як стане надто пізно.

Публікація Ledger CTO Warns Wallet Holders After NPM Account Hack вперше з’явилася на Cryptotale.