Целевая атака поражает экосистему JavaScript через широко используемые модули NPM. Взломав аккаунт известного разработчика, злоумышленники внедряют вредоносное ПО, способное изменять адреса для получения криптовалюты в режиме реального времени, подвергая пользователей высокому риску кражи при проведении транзакций в цепочке.
Что происходит? Вредоносное ПО похищает ваши криптовалютные адреса
Атака на цепочку поставок, то есть на компоненты, библиотеки, инструменты и сервисы, используемые разработчиками, беспрецедентного масштаба в настоящее время поражает всю экосистему JavaScript и, как следствие, экосистему криптовалют.
Действительно, NPM-аккаунт разработчика «qix», поддерживающего множество популярных библиотек, недавно был взломан.
Результат: были опубликованы вредоносные версии широко используемых пакетов (небольших модулей повторно используемого кода), таких как «chalk», «strip-ansi», «color-convert», «error-ex» и «is-core-module».
С совокупным количеством загрузок в несколько сотен миллионов в неделю, эти пакеты теперь широко распространены в экосистеме Node.js, что затрагивает тысячи проектов.
🚨 Происходит крупномасштабная атака на цепочку поставок: взломан аккаунт NPM авторитетного разработчика. Затронутые пакеты уже были скачаны более 1 миллиарда раз, что означает, что вся экосистема JavaScript может быть под угрозой.
Вредоносный код работает…
— Charles Guillemet (@P3b7_) 8 сентября 2025 г.
Хотя на первый взгляд ситуация кажется катастрофической, эта атака затрагивает только те веб-сайты, которые опубликовали обновление после взлома пакета NPM. Проекты, которые еще не обновились, по-прежнему используют старую, не скомпрометированную версию.
Внедренное вредоносное ПО представляет собой сложный «крипто-клиппер»:
- Он перехватывает ваши сетевые запросы и транзакции в криптовалютах;
- Он обнаруживает адреса Bitcoin, Ethereum, Solana и т. д. в данных,
- и незаметно заменяет их адресами злоумышленника.
Это означает, что даже если вы думаете, что отправляете средства на легитимный адрес, вредоносное ПО может изменить его в вашем браузере или телефоне в последнюю секунду.
Код работает на нескольких уровнях: он манипулирует как контентом, отображаемым на веб-сайтах, так и ответами API, а также тем, что ваши приложения считают подписанным. Это делает атаку особенно опасной для тех, кто не использует аппаратный кошелек (hardware wallet).
Как защитить себя?
Если вы используете аппаратный кошелек (Ledger, Trezor и т. д.): вы защищены, если перед подписанием тщательно проверяете, что адрес на экране кошелька (а не на экране вашего телефона или компьютера) является правильным.
Если вы используете программный кошелек или даже взаимодействуете со смарт-контрактами: немедленно приостановите все транзакции в цепочке.
Лучше подождать, пока ситуация вернется под контроль, чтобы возобновить свою деятельность.
Партнер SwissBorg только что подвергся инциденту, который привел к потере 193 000 SOL
Хотя мы пока не можем знать, связаны ли эти две истории, биржа SwissBorg недавно заявила, что обнаружила уязвимость в API своего партнера Kiln, которая повлияла на ее программу «SOL Earn» примерно на 193 000 SOL, что составляет менее 1% ее пользователей.
По заявлению компании, приложение остается безопасным и пригодным для использования. SwissBorg немедленно задействовала свои денежные средства в SOL для компенсации убытков и, по всей видимости, уже начала работать с экспертами по кибербезопасности, чтобы вернуть похищенные средства. Соответствующие пользователи должны в ближайшее время получить уведомление по электронной почте.
