Криптоиндустрия пережила крупнейшую NPM-атаку в истории. Сколько монет украл хакер?

Вчера вечером пользователи криптовалют столкнулись с неприятным предупреждением. Технический директор Ledger Шарль Гийом рекомендовал владельцам монет воздержаться от проведения операций с цифровыми активами из-за атаки. Оказалось, что хакеры смогли незаметно внедрить вредоносный код, который подменяет адреса получателей крипты. Это могло закончиться коллапсом, ведь заражённые пакеты скачали больше миллиарда раз. Однако в итоге злоумышленники заработали лишь 50 долларов в крипте.

Как хакеры крадут криптовалюту — последний пример

О проблемах в индустрии стало известно вчера вечером. Первым о них сообщил уже упомянутый представитель Ledger Шарль Гийом, который рекомендовал повременить с проведением криптовалютных транзакций.

Разработчик опубликовал в Твиттере следующую запись, содержимое которой приводит The Block.

Ведётся масштабная атака на цепочку поставок: был скомпрометирован NPM-аккаунт уважаемого разработчика. Заражённые пакеты уже скачаны более миллиарда раз, что ставит под угрозу всю экосистему JavaScript. Вредоносный код работает незаметно, подменяя криптоадреса «на лету» для кражи средств.

Если вы используете аппаратный кошелёк — внимательно проверяйте каждую транзакцию перед подписанием, и вы в безопасности. Если аппаратного кошелька нет, воздержитесь от любых блокчейн-транзакций до прояснения ситуации.

Криптовалютный хакер

Также об активности хакеров предупредил представитель проекта Abstract под псевдонимом Cygaar. Его реплика была следующей.

Я настоятельно рекомендую не подписывать никакие криптотранзакции сейчас. Происходит крупная атака на цепочку поставок в популярных пакетах npm, которая могла скомпрометировать разные криптосайты.

Она подменяет адрес назначения транзакций и одобрений на адреса атакующих вместо того, с которыми вы на самом деле пытаетесь взаимодействовать.

Иначе говоря, хакеры провели атаку на цепочку поставок, затронув библиотеки программного обеспечения JavaScript. По данным экспертов Security Alliance, злоумышленники взломали учётную запись менеджера пакетов узлов (NPM) известного разработчика программного обеспечения и внедрили вредоносный код в популярные библиотеки JavaScript.

Код проверял наличие у потенциальной жертвы криптовалютного кошелька и в случае проведения транзакции незаметно подменял адрес получателя операции. Это значит, что если пользователь проводил перевод через интерфейс кошелька, монеты могли уйти на адрес хакера.

Эксперты уточняют, что атака была нацелена на адреса в сетях Эфириума и Solana. Соответственно, хакеры не пытались атаковать конкретных пользователей криптовалютных сетей, а вместо этого вмешались в распространение популярного программного обеспечения, куда и был внедрён вредоносный код.

Криптовалютный хакер

Событие прокомментировали и другие представители криптоиндустрии. Вот реплика пользователя под псевдонимом 0x_ultra.

Chalk и проекты, которые зависят от него (свыше 2 миллиардов загрузок в неделю), оказались скомпрометированы. Пакеты с таким же объёмом загрузок взломаны и теперь воруют все ваши приватные ключи.

Позже сотрудник, чья учётная запись была скомпрометирована, подтвердил факт атаки. Об этом сообщили представители Bleeping Computer.

Он знал о компрометации и добавил, что фишинговое письмо пришло с домена, где размещён сайт, выдающий себя за настоящий npmjs.com. В письмах злоумышленники угрожали, что аккаунты выбранных мейнтейнеров будут заблокированы 10 сентября 2025 года — это было запугивающей уловкой, чтобы заставить их перейти по ссылке на фишинговый сайт.

Пользователь 0x_ultra отметил, что затронутые пакеты были исправлены в 15:15 UTC. При этом пользователи по-прежнему обеспокоены перспективой уязвимости интерфейсов веб-сайтов и не спешат взаимодействовать с монетами.

Хакер, который ворует чужие NFT

😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!

Сколько украли хакеры в ходе NPM-атаки

Эксперты информационной безопасности Security Alliance изучили активность хакеров и пришли к выводу, что они смогли украсть лишь эквивалент 50 долларов. По их версии, адрес, начинающийся с сочетания 0xFc4a48, был единственным вредоносным.

Комментарий аналитиков приводит Cointelegraph.

Представьте себе: вы взламываете аккаунт разработчика NPM, чьи пакеты скачивают более 2 миллиардов раз в неделю. У вас открытый доступ к миллионам рабочих станций разработчиков. Несметные богатства ждут вас. Весь мир у ваших ног. А в итоге вы зарабатываете меньше 50 долларов.

Аппаратный криптовалютный кошелёк Ledger Flex

Слабые результаты активности хакеров также прокомментировал исследователь безопасности SEAL под псевдонимом Samczsun.

Хакер так и не воспользовался в полной мере тем уровнем доступа, который получил. Это всё равно что найти пропуск в Форт-Нокс и использовать его в качестве закладки. Вредоносное ПО распространилось широко, но на данный момент почти полностью нейтрализовано.

Ситуация наглядно напомнила о рисках, которые присутствуют в криптоиндустрии. В теории, владелец монет может правильно их хранить и обращаться с активами, но всё равно их потерять. Происходящее также подчёркивает преимущество аппаратных кошельков, которые хранят приватные ключи пользователей на отдельных чипах безопасности, находящихся в офлайне. В этой истории они были вне зоны риска, поскольку такие устройства не только не светят важные комбинации в интернете, но также показывают реальные данные транзакций перед переводом криптовалют. В случае с устройствами Ledger эта функция называется прозрачная подпись.  

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.