Целенасочена атака удря екосистемата JavaScript чрез широко използвани NPM модули. Като компрометират акаунта на известен разработчик, атакуващите инжектират зловреден софтуер, способен да променя крипто адресите за получаване в движение, излагайки потребителите на висок риск от кражба при транзакции в блокчейна.
Какво се случва? Зловреден софтуер открадва вашите крипто адреси
Атака срещу веригата за доставки, т.е. компонентите, библиотеките, инструментите и услугите, използвани от разработчиците, с безпрецедентен мащаб в момента засяга цялата екосистема на JavaScript и по-широко – тази на криптовалутите.
Всъщност NPM акаунтът на разработчика „qix“, поддържащ много популярни библиотеки, наскоро беше компрометиран.
Резултатът: бяха публикувани злонамерени версии на широко използвани пакети (малки модули с повторно използваем код) като „chalk“, „strip-ansi“, „color-convert“, „error-ex“ или „is-core-module“.
С няколкостотин милиона седмични изтегляния, тези пакети вече са широко разпространени в екосистемата Node.js, засягайки хиляди проекти.
🚨 В момента се извършва мащабна атака срещу веригата за доставки: NPM акаунтът на уважаван разработчик е бил компрометиран. Засегнатите пакети вече са били изтеглени над 1 милиард пъти, което означава, че цялата екосистема на JavaScript може да е изложена на риск.
Зловредният код работи…
— Charles Guillemet (@P3b7_) 8 септември 2025 г.
Въпреки че на пръв поглед ситуацията изглежда катастрофална, тази атака засяга само уебсайтове, които са публикували актуализация след компрометирането на въпросния NPM пакет. Проектите, които все още не са направили актуализацията, продължават да използват старата, некомпрометирана версия.
Въведеният зловреден софтуер е сложен „крипто-клипър“:
- Той прихваща вашите мрежови заявки и транзакции с криптовалути;
- Той открива адресите на Bitcoin, Ethereum, Solana и др. в данните,
- и ги замества дискретно с адресите на атакуващия.
Това означава, че дори ако мислите, че изпращате средства на легитимен адрес, зловредният софтуер може да го промени в браузъра или телефона ви в последния момент.
Кодът работи на няколко нива: манипулира както съдържанието, показвано на уебсайтовете, така и отговорите на API и това, което вашите приложения смятат, че подписват. Това прави атаката особено опасна за тези, които не използват хардуерен портфейл (hardware wallet).
Как да се предпазите?
Ако използвате хардуерен портфейл (Ledger, Trezor и др.): сте защитени, стига да проверите внимателно дали адресът на екрана на портфейла (а не на телефона или компютъра ви) е правилен, преди да подпишете.
Ако използвате софтуерен портфейл или дори взаимодействате със смарт договори: незабавно преустановете всички транзакции в блокчейна.
По-добре е да изчакате ситуацията да се нормализира, преди да възобновите дейността си.
Партньор на SwissBorg току-що претърпя инцидент, който доведе до загубата на 193 000 SOL
Въпреки че все още не можем да знаем дали тези две истории са свързани, платформата за обмен SwissBorg наскоро заяви, че е идентифицирала пропуск, свързан с API на своя партньор Kiln, който засяга програмата „SOL Earn” за около 193 000 SOL, или по-малко от 1% от потребителите.
Според компанията приложението остава сигурно и използваемо. SwissBorg незабавно мобилизира своите наличности в SOL, за да компенсира загубите, и вече е започнала да работи с експерти по киберсигурност, за да възстанови откраднатите средства. Засегнатите потребители трябва да бъдат уведомени по имейл в най-скоро време.
