Ключові моменти
- Зловмисний код, впроваджений у пакети @ensdomains між 21-23 листопада, був націлений на облікові дані розробників у GitHub, npm та хмарних сервісах.
- Атака поширювалася через скомпрометовані акаунти мейнтейнерів, автоматично виконуючись під час стандартних команд встановлення.
- Постраждалі пакети включають gate-evm-check-code2, create-hardhat3-app, ethereum-ens та понад 40 бібліотек у межах scope @ensdomains.
Пакети програмного забезпечення Ethereum Name Service ENS $11.61 24h волатильність: 4.0% Ринкова капіталізація: $439.48 M Обсяг 24h: $72.23 M були скомпрометовані внаслідок кібератаки на ланцюг постачання, що вплинула на понад 400 бібліотек коду на npm — платформі, де розробники діляться та завантажують програмні інструменти. ENS Labs заявили, що активи користувачів та доменні імена, ймовірно, не постраждали.
Команда виявила, що пакети, які починаються з @ensdomains, були скомпрометовані близько 5:49 UTC 24 листопада, і з того часу оновила версії пакетів та змінила облікові дані безпеки, згідно з ENS Labs. Сайти, що управляються ENS, включаючи app.ens.domains, не показали ознак впливу.
Ми ідентифікували, що певні npm-пакети, які починаються з @ensdomains і були опубліковані близько 5:49 UTC сьогодні, можуть бути уражені атакою Sha1-Hulud на ланцюг постачання, яка скомпрометувала понад 400 бібліотек NPM, включаючи декілька ENS-пакетів.
Команда оновила всі останні теги та…
— ens.eth (@ensdomains) 24 листопада 2025
За даними Aikido Security, яка першою виявила цю кампанію 24 листопада, атака також скомпрометувала пакети від Zapier, PostHog, Postman та AsyncAPI.
Серед жертв — криптопакети
Кілька бібліотек для розробки блокчейну потрапили під широку атаку. Скомпрометовані пакети включають gate-evm-check-code2 та evm-checkcode-cli, які використовуються для перевірки байткоду смарт-контрактів, create-hardhat3-app для scaffolding проектів Ethereum ETH $2 964 24h волатильність: 4.8% Ринкова капіталізація: $357.84 B Обсяг 24h: $32.76 B, а також coinmarketcap-api для інтеграції цінових даних.
Інші криптобібліотеки, що постраждали, включають ethereum-ens та crypto-addr-codec, яка відповідає за кодування адрес криптовалют. Було скомпрометовано понад 40 пакетів у межах scope @ensdomains.
Інцидент нагадує бекдор, виявлений у пакетах XRP Ledger у квітні, коли зловмисний код був впроваджений у xrpl.js для викрадення приватних ключів.
Як працює атака
Зловмисні пакети були завантажені на npm між 21-23 листопада. Шкідливе ПЗ поширюється шляхом компрометації акаунтів мейнтейнерів та впровадження коду у їхні пакети. Воно виконується автоматично, коли розробники запускають стандартні команди встановлення.
Шкідливе ПЗ збирає паролі розробників та токени доступу з GitHub, npm та основних хмарних сервісів. Воно публікує викрадені дані у публічних репозиторіях GitHub та створює приховані точки доступу на інфікованих машинах для майбутніх атак.
Пошук у GitHub показує, що зараз 26 300 репозиторіїв містять викрадені облікові дані, розповсюджені приблизно через 350 скомпрометованих акаунтів. Кількість продовжує зростати, оскільки атака все ще активна.
Дослідники Koi Security виявили додаткову загрозу. Якщо шкідливе ПЗ не може викрасти облікові дані або надіслати дані назовні, воно видаляє всі файли у домашній директорії користувача.
Реакція розробників
ENS Labs заявили, що розробники, які не встановлювали ENS-пакети протягом 11 годин після виявлення о 5:49 UTC, ймовірно, не постраждали. Ті, хто встановлював у цей проміжок, повинні видалити свої папки node_modules, очистити кеш npm та змінити всі облікові дані.
Інцидент відбувся на тлі низки криптографічних інцидентів безпеки, які цього року випробували інфраструктурні проекти. GitHub активно видаляє репозиторії, створені зловмисниками, хоча нові продовжують з’являтися.
next
