Крупнейшая в истории атака на цепочку поставок нацелена на пользователей криптовалют через скомпрометированные JavaScript-пакеты

Новая кибератака незаметно нацелена на криптовалюту пользователей во время транзакций на фоне инцидента, который исследователи по безопасности называют крупнейшей атакой на цепочку поставок в истории.

BleepingComputer сообщил, что хакеры скомпрометировали аккаунты мейнтейнеров NPM-пакетов с помощью фишинговых писем и внедрили вредоносное ПО, которое похищает криптовалюту.

Атака была нацелена на разработчиков JavaScript с помощью мошеннических писем, которые выглядели так, будто исходят от “[email protected]” — поддельного домена, имитирующего легитимный реестр NPM.

Фишинговые сообщения предупреждали мейнтейнеров, что их аккаунты будут заблокированы 10 сентября, если они не обновят свои данные двухфакторной аутентификации через вредоносную ссылку.

Злоумышленникам удалось скомпрометировать 18 широко используемых JavaScript-пакетов, суммарное еженедельное количество загрузок которых превышает 2.6 миллиарда.

Среди скомпрометированных библиотек — основные инструменты разработки, такие как “chalk” (300 миллионов загрузок в неделю), “debug” (358 миллионов) и “ansi-styles” (371 миллион), что затрагивает практически всю экосистему JavaScript.

Нацеливание на криптовалюту

Вредоносный код работает как перехватчик на уровне браузера, отслеживая сетевой трафик на предмет криптовалютных транзакций в сетях Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash.

Когда пользователи инициируют перевод криптовалюты, вредоносное ПО незаметно подменяет адреса кошельков получателей на аккаунты, контролируемые злоумышленниками, до подписания транзакции.

Исследователь безопасности из Aikido Security Чарли Эриксен объяснил:

«Опасность заключается в том, что оно действует на нескольких уровнях: изменяет содержимое, отображаемое на сайтах, вмешивается в API-запросы и манипулирует тем, что приложения пользователей считают подписываемым.»

Технический директор Ledger Шарль Гийемет предупредил пользователей криптовалют о продолжающейся угрозе, отметив, что экосистема JavaScript может быть скомпрометирована, учитывая огромные показатели загрузок.

Пользователи аппаратных кошельков остаются защищёнными, если они проверяют детали транзакции перед подписанием, в то время как пользователи программных кошельков подвергаются большему риску. Гийемет посоветовал:

«Если вы не используете аппаратный кошелёк, воздержитесь от любых on-chain транзакций на данный момент.»

Он также отметил, что пока неизвестно, могут ли злоумышленники напрямую извлекать seed-фразы из программных кошельков.

Сложная целевая атака

Эта атака представляет собой сложную атаку на цепочку поставок, при которой преступники компрометируют доверенную инфраструктуру разработки для достижения конечных пользователей.

Проникнув в пакеты, которые загружаются миллиардами раз каждую неделю, злоумышленники получили беспрецедентный доступ к криптовалютным приложениям и интерфейсам кошельков.

BleepingComputer выявил фишинговую инфраструктуру, отправляющую учетные данные на “websocket-api2.publicvm.com”, что демонстрирует скоординированный характер операции.

Этот инцидент последовал за аналогичными компрометациями JavaScript-библиотек в течение 2025 года, включая июльскую атаку на “eslint-config-prettier” с 30 миллионами загрузок в неделю и мартовские компрометации, затронувшие десять популярных NPM-библиотек.

Публикация Largest supply chain attack in history targets crypto users through compromised JavaScript packages впервые появилась на CryptoSlate.