3 июня 2026 года подразделение Microsoft Threat Intelligence раскрыло кампанию, в рамках которой два скомпрометированных пакета в реестре npm тайно распространяли троян удалённого доступа. Пакеты utils-terminal@3.2.1 и logger-active@3.2.1 были либо взломаны, либо изначально опубликованы со злым умыслом. Они внедряли RAT, способный перехватывать нажатия клавиш, делать снимки экрана, собирать учётные данные и извлекать информацию из криптовалютных кошельков.
Особенность атаки — использование инфраструктуры Hugging Face для эксфильтрации украденных данных. Злоумышленники загружали похищенную информацию в репозитории популярной платформы искусственного интеллекта, что снижало вероятность обнаружения стандартными средствами мониторинга безопасности. Это позволило долгое время оставаться незамеченными.
Атака представляет серьёзную угрозу для разработчиков, работающих с блокчейн-проектами и криптоактивами. На заражённых машинах часто содержатся браузерные кошельки, API-ключи, токены облачного доступа и исходный код, связанный с цифровыми активами. Получив доступ к такой информации, злоумышленники могут скомпрометировать кошельки, инфраструктуру разработки или автоматизированные торговые системы.
Инцидент высвечивает растущие риски атак на цепочку поставок программного обеспечения. Вместо прямого нападения на конечного пользователя злоумышленники заражают популярные зависимости, что потенциально открывает доступ к огромному числу жертв. Microsoft рекомендует немедленно проанализировать установленные пакеты, удалить подозрительные зависимости, сменить скомпрометированные учётные данные и отслеживать подозрительную активность в кошельках. Эксперты также подчёркивают важность хранения seed-фраз в офлайн-режиме и тщательной проверки источников устанавливаемого ПО.
