Технический директор Ledger предупреждает об атаке на цепочку поставок NPM, нацеленной на пользователей криптовалют.

Крупная атака на цепочку поставок потрясла криптоэкосистему, поставив под угрозу пользователей по всему миру. Технический директор Ledger Шарль Гийме поднимает тревогу, призывая к осторожности и использованию аппаратных кошельков.

Атака, начавшаяся со взлома аккаунта Node Package Manager (NPM), уже затронула миллиарды загрузок и поставила под угрозу безопасность миллионов dApps и криптотранзакций.

«Аккаунт уважаемого разработчика в NPM был скомпрометирован. Затронутые пакеты уже были загружены более 1 миллиарда раз», — предупредил Гийме.

Он также объяснил, что вредоносное ПО действует как криптоклиппер, незаметно перехватывая адреса кошельков во время транзакций и перенаправляя средства на кошельки злоумышленника. Гийме призвал пользователей быть особенно осторожными, особенно тех, кто не использует аппаратные кошельки.

«Если вы используете аппаратный кошелек, внимательно проверяйте каждую транзакцию перед подписанием — вы в безопасности. Если нет — воздержитесь от любых on-chain транзакций на данный момент», — посоветовал он.

Взлом NPM: как произошла утечка 

Согласно сообщениям, были скомпрометированы 18 популярных пакетов NPM, включая такие известные пакеты, как ‘chalk’, ‘debug’ и ‘strip-ansi’. Атака, произошедшая 8 сентября, стала одной из крупнейших в новейшей истории, затронув библиотеки с общим количеством загрузок более 2 миллиардов в неделю.

Предположительно, атака началась с фишингового письма, имитирующего официальную поддержку NPM. Целью стал Qix-, уважаемый разработчик, чей аккаунт в NPM был взломан, что позволило злоумышленникам внедрить вредоносные обновления в популярные JavaScript-библиотеки.

После установки вредоносный код незаметно заменяет скопированные криптоадреса на похожие, контролируемые хакером. Эта техника, основанная на логике расстояния Левенштейна, обманывает ничего не подозревающих пользователей, заставляя их отправлять средства не по тем адресам.

Исследователи выделили один основной адрес кошелька, связанный с атакой, однако они отметили и другие кошельки, предположительно связанные с этим инцидентом.

Хотя Шарль отметил, что пока неясно, ворует ли злоумышленник также seed-фразы программных кошельков напрямую, последние отчеты проливают свет на ущерб. Исследователь Рани Хаддад классифицировал кошельки злоумышленника на Arkham как сущность под названием NPM attack. Данные показывают, что на момент публикации злоумышленнику удалось украсть $497.96.

Кошельки злоумышленника | Источник: Arkham

Хотя прямой финансовый ущерб пока незначителен, потенциальный масштаб огромен, учитывая популярность затронутых пакетов.

Реакция сообщества и меры предотвращения 

Ряд проектов и протоколов, таких как Uniswap, SUI и Jupiter, подтвердили, что не пострадали, но призвали к осторожности. Криптовалютные кошельки, такие как Ledger и MetaMask, заверили пользователей в наличии многоуровневых мер безопасности.

Тем временем, взлом цепочки поставок NPM был не единственным крупным инцидентом безопасности 8 сентября. Швейцарская криптоплатформа SwissBorg сообщила о взломе на $41 миллион через партнерский API, затронувшем 1% пользователей. Кроме того, проект Ethereum L2 Kinto объявил о своем закрытии после взлома в июле, в результате которого было выведено 577 ETH, и команда не смогла обеспечить финансирование.

Эта волна атак свидетельствует о растущей сложности угроз в криптоиндустрии. В дальнейшем пользователям, разработчикам и платформам необходимо внедрять более безопасные практики и проводить тщательные аудиты пакетов.