Технічний директор Ledger попереджає користувачів про загрозу компрометації ланцюга постачання NPM, що ставить під загрозу безпеку криптовалют

Великий злам ланцюга постачання сколихнув спільноту з відкритим кодом після того, як хакери скомпрометували обліковий запис розробника Node Package Manager (NPM) з гарною репутацією. Постраждали широко використовувані пакети, що викликало серйозне занепокоєння у всій екосистемі JavaScript.

Злам NPM викликає занепокоєння щодо безпеки гаманців

Charles Guillemet, технічний директор Ledger, розкрив масштаб загрози. Він повідомив, що головний обліковий запис NPM було викрадено, а постраждалі пакети вже були завантажені понад 1 мільярд разів. З огляду на таке охоплення, він зазначив, що вся екосистема JavaScript може бути під загрозою. Шкідливий код працював непомітно, у реальному часі підмінюючи адреси криптовалют для перенаправлення коштів до зловмисників.

Guillemet закликав до обережності. Він пояснив, що користувачі апаратних гаманців залишаються у безпеці, якщо ретельно перевіряють кожну транзакцію перед підтвердженням. Тим, хто покладається на програмні гаманці, він рекомендував уникати on-chain транзакцій, доки ситуація не проясниться. Також він зазначив, що досі невідомо, чи намагаються зловмисники безпосередньо отримати seed-фрази від програмних гаманців.

Розробник підтверджує захоплення облікового запису

Мейнтейнер, який опинився в центрі інциденту, Josh Junon, підтвердив, що його обліковий запис NPM було скомпрометовано. У дописі на Bluesky він пояснив, що захоплення стало наслідком фішингової кампанії. Зловмисники створили фейковий домен, ‘support [at] npmjs [dot]’ help, який імітував офіційний сайт npmjs.com.

Мейнтейнерам надсилали погрозливі листи з повідомленням, що їхні облікові записи буде заблоковано 10 вересня 2025 року. Ці повідомлення містили посилання, які перенаправляли на фішингові сайти для викрадення облікових даних. У фейковому листі йшлося:

Щоб зберегти безпеку та цілісність вашого облікового запису, просимо вас якнайшвидше завершити це оновлення. Зверніть увагу, що облікові записи зі застарілими 2FA-даними будуть тимчасово заблоковані з 10 вересня 2025 року для запобігання несанкціонованому доступу.

Невдовзі інші розробники також повідомили, що стали мішенню подібних атак, підтвердивши, що фішингова схема вийшла за межі одного мейнтейнера.

Реакція на злам NPM та технічний аналіз

Команда NPM оперативно відреагувала після виявлення зламу, видаливши шкідливі версії, завантажені зловмисниками. Серед видалених був реліз пакета debug, який завантажується сотні мільйонів разів щотижня — приблизно 357 мільйонів.

Додатковий аналіз провела компанія Aikido Security, і розслідування виявило наступне:

• Зловмисники додали шкідливий код у файли index.js викрадених пакетів. Це діяло як перехоплювач браузера, захоплюючи трафік і націлюючись на користувачів криптовалют.
• Шкідливе ПЗ вбудовувалося у браузери та підключалося до функцій, таких як fetch, XMLHttpRequest, а також до API гаманців, як-от window.ethereum і Solana, отримуючи доступ до веб- та гаманець-активності.
• Після активації воно сканувало дані на наявність адрес гаманців у мережах Ethereum, Bitcoin, Solana, Tron, Litecoin та Bitcoin Cash. Виявлені адреси підмінялися на ті, що контролювали зловмисники, часто схожі на оригінальні.
• Воно змінювало деталі транзакцій перед підписанням, змінюючи одержувачів, підтвердження чи дозволи, при цьому інтерфейс виглядав нормально, а кошти відправлялися зловмисникам.
• Щоб залишатися непоміченим, воно уникало видимих змін при наявності гаманця, натомість працювало тихо у фоновому режимі та маніпулювало реальними транзакціями.

Заклик до посилення заходів безпеки

У коментарях для CoinDesk Guillemet попередив, що децентралізовані додатки або програмні гаманці, які містять скомпрометовані пакети, можуть бути небезпечними, що ставить під загрозу кошти користувачів криптовалют. Він наголосив, що найнадійніший захист — це апаратний гаманець із безпечним дисплеєм, який підтримує Clear Signing.

Такий підхід дозволяє користувачам перевіряти адресу та деталі кожної транзакції безпосередньо на екрані пристрою, гарантуючи, що те, що вони підтверджують, відповідає їхнім намірам.

Він додав, що ця ситуація є потужним нагадуванням про важливі практики: “завжди перевіряйте свої транзакції, ніколи не підписуйте наосліп.” Також він порадив використовувати апаратний гаманець із безпечним дисплеєм для забезпечення безпеки.