Kluczowe informacje
- Złośliwy kod wstrzyknięty do pakietów @ensdomains między 21 a 23 listopada był wymierzony w dane uwierzytelniające deweloperów na GitHub, npm oraz usługach chmurowych.
- Atak rozprzestrzeniał się poprzez przejęte konta opiekunów pakietów, automatycznie wykonując się podczas standardowych poleceń instalacyjnych.
- Zainfekowane pakiety to m.in. gate-evm-check-code2, create-hardhat3-app, ethereum-ens oraz ponad 40 bibliotek z zakresu @ensdomains.
Pakiety oprogramowania Ethereum Name Service ENS $11.61 24h zmienność: 4.0% Kapitalizacja rynkowa: $439.48 M Wolumen 24h: $72.23 M zostały naruszone w wyniku cyberataku na łańcuch dostaw, który dotknął ponad 400 bibliotek kodu na npm, platformie, na której deweloperzy dzielą się i pobierają narzędzia programistyczne. ENS Labs poinformowało, że aktywa użytkowników oraz nazwy domen wydają się być nienaruszone.
Zespół wykrył, że pakiety zaczynające się od @ensdomains zostały naruszone około godziny 5:49 UTC 24 listopada i od tego czasu zaktualizował wersje pakietów oraz zmienił dane uwierzytelniające, zgodnie z informacjami ENS Labs. Strony internetowe obsługiwane przez ENS, w tym app.ens.domains, nie wykazały oznak wpływu ataku.
Zidentyfikowaliśmy, że niektóre pakiety npm zaczynające się od @ensdomains opublikowane około 5:49 UTC dziś mogą być dotknięte atakiem na łańcuch dostaw Sha1-Hulud, który naruszył ponad 400 bibliotek NPM, w tym kilka pakietów ENS.
Zespół zaktualizował wszystkie najnowsze tagi i jest…
— ens.eth (@ensdomains) 24 listopada 2025
Według Aikido Security, która jako pierwsza wykryła kampanię 24 listopada, atak dotknął również pakietów od Zapier, PostHog, Postman oraz AsyncAPI.
Pakiety kryptowalutowe wśród ofiar
Kilka bibliotek do rozwoju blockchain zostało objętych szeroko zakrojonym atakiem. Zainfekowane pakiety to m.in. gate-evm-check-code2 i evm-checkcode-cli używane do weryfikacji bajtkodu smart kontraktów, create-hardhat3-app do szkieletowania projektów Ethereum ETH $2 964 24h zmienność: 4.8% Kapitalizacja rynkowa: $357.84 B Wolumen 24h: $32.76 B oraz coinmarketcap-api do integracji danych cenowych.
Inne dotknięte biblioteki kryptowalutowe to ethereum-ens oraz crypto-addr-codec, obsługujący kodowanie adresów kryptowalut. Naruszono ponad 40 pakietów w zakresie @ensdomains.
Incydent ten przypomina o tylnych drzwiach odkrytych w pakietach XRP Ledger w kwietniu, gdzie złośliwy kod został wstrzyknięty do xrpl.js w celu kradzieży kluczy prywatnych.
Jak działa atak
Złośliwe pakiety zostały przesłane do npm między 21 a 23 listopada. Złośliwe oprogramowanie rozprzestrzenia się poprzez przejęcie kont opiekunów i wstrzyknięcie kodu do ich pakietów. Wykonuje się automatycznie, gdy deweloperzy uruchamiają standardowe polecenia instalacyjne.
Złośliwe oprogramowanie zbiera hasła deweloperów oraz tokeny dostępu z GitHub, npm i głównych usług chmurowych. Publikuje skradzione dane do publicznych repozytoriów GitHub i tworzy ukryte punkty dostępu na zainfekowanych maszynach na potrzeby przyszłych ataków.
Wyszukiwanie na GitHub pokazuje, że 26 300 repozytoriów zawiera obecnie skradzione dane uwierzytelniające, rozprzestrzenione na około 350 naruszonych kontach. Liczba ta nadal rośnie, ponieważ atak pozostaje aktywny.
Badacze z Koi Security odkryli dodatkowe zagrożenie. Jeśli złośliwe oprogramowanie nie może ukraść danych uwierzytelniających lub przesłać ich na zewnątrz, usuwa wszystkie pliki w katalogu domowym użytkownika.
Reakcja deweloperów
ENS Labs poinformowało, że deweloperzy, którzy nie zainstalowali pakietów ENS w ciągu 11 godzin od wykrycia o 5:49 UTC, prawdopodobnie nie zostali dotknięci. Osoby, które zainstalowały pakiety w tym oknie czasowym, powinny usunąć swoje foldery node_modules, wyczyścić pamięć podręczną npm i zmienić wszystkie dane uwierzytelniające.
Incydent ten jest kolejnym z serii naruszeń bezpieczeństwa w sektorze kryptowalut, które w tym roku wystawiły na próbę projekty infrastrukturalne. GitHub aktywnie usuwa repozytoria utworzone przez atakujących, choć pojawiają się nowe.
next
