Криптосообщество столкнулось с беспрецедентной атакой на цепочку поставок, которую эксперты по безопасности называют крупнейшей в истории. Злоумышленники скомпрометировали аккаунты разработчиков пакетов NPM с помощью фишинговых писем, маскирующихся под официальную поддержку npmjs.help. Сообщения предупреждали о блокировке аккаунтов 10 сентября, если не обновить двухфакторную аутентификацию через вредоносную ссылку.
В результате атаки были заражены 18 широко используемых пакетов JavaScript с совокупным количеством еженедельных загрузок, превышающим 2,6 миллиарда. Среди скомпрометированных библиотек — фундаментальные инструменты разработки: chalk (300 млн загрузок в неделю), debug (358 млн) и ansi-styles (371 млн), что затронуло практически всю экосистему JavaScript.
Вредоносный код действует как браузерный перехватчик, мониторящий сетевой трафик для кражи криптовалютных средств. При инициации переводов через сети Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash программа незаметно заменяет адреса кошельков получателей на контролируемые злоумышленниками. Как пояснил исследователь безопасности Aikido Чарли Эриксен, опасность заключается в многоуровневом воздействии: изменении контента на сайтах, подмене API-вызовов и манипуляции данными при подписании транзакций.
Технический директор Ledger Шарль Гийеме предупредил пользователей о продолжающейся угрозе, отметив, что экосистема JavaScript может быть скомпрометирована из-за масштабов заражения. Пользователи аппаратных кошельков защищены при проверке деталей транзакций перед подписанием, тогда как владельцы программных кошельков подвержены более высокому риску. Гийеме рекомендовал воздержаться от любых on-chain транзакций без использования аппаратного кошелька.
Атака демонстрирует высокий уровень изощренности: злоумышленники компрометируют доверенную инфраструктуру разработки для доступа к конечным пользователям. Инцидент следует за аналогичными компрометациями библиотек JavaScript в 2025 году, включая атаку на eslint-config-prettier в июле (30 млн загрузок в неделю) и компрометацию десяти популярных библиотек NPM в марте.