Взломаны npm-пакеты, которые еженедельно загружают более 2,6 млрд раз

[Article Publisher]

Исследователи предупреждают о крупнейшей в истории атаке на цепочку поставок. Злоумышленники внедрили малварь в популярнейшие npm-пакеты, насчитывающие более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки JavaScript, как chalk и strip-ansi). Ради этой атаки хакеры скомпрометировали аккаунт мейнтейнера с помощью фишинговой атаки.

Вечером 8 сентября 2025 года мейнтейнер Джош Джунон (Josh Junon), также известный под ником Qix, сообщил, что его аккаунты были захвачены в ходе атаки и ему известно о компрометации.


Сообщение Джунона
Он рассказал, что получил фишинговое письмо с адреса support@npmjs[.]help — домена, зарегистрированного 5 сентября 2025 года. Размещенный по этому адресу сайт маскировался под легитимный домен npmjs.com.

В письмах, которые также получили и другие мейнтейнеры, атакующие писали, что аккаунт якобы будет заблокирован 10 сентября 2025 года, если не предпринять срочные действия.

Фишинговое письмо

«В рамках нашего постоянного стремления к безопасности учетных записей мы просим всех пользователей обновить свои учетные данные двухфакторной аутентификации (2ФА). Наши записи показывают, что с момента последнего обновления 2ФА прошло более 12 месяцев, — гласило фишинговое послание. — Для поддержания безопасности и целостности вашего аккаунта мы просим вас выполнить обновление как можно скорее. Обратите внимание, что аккаунты с устаревшими учетными данными 2ФА будут временно заблокированы после 10 сентября 2025 года во избежание несанкционированного доступа».

Как отмечает издание Bleeping Computer, npmjs[.]help содержит форму входа, которая передает все введенные учетные данные по следующему URL: https://websocket-api2[.]publicvm[.]com/images/jpg-to-png.php?name=[name]&pass=[password].

«Прошу прощения у всех, мне следовало быть внимательнее, — пишет Джунон. — Совсем не похоже на меня. У меня выдалась напряженная неделя. Постараюсь все это исправить».

Команда npm уже начала удалять вредоносные версии взломанных пакетов, опубликованных атакующими.

Скомпрометированные пакеты, где Qix выступал разработчиком или мейнтейнером, совокупно насчитывают более 2,6 миллиарда загрузок еженедельно. Они не только используются напрямую, но и имеют тысячи зависимостей:

• [email protected] (0,26 млн загрузок в неделю);
• [email protected] (299,99 млн загрузок в неделю);
• [email protected] (3,9 млн загрузок в неделю);
• [email protected] (193,5 млн загрузок в неделю);
• [email protected] (191,71 млн загрузок в неделю);
• [email protected] (27,48 млн загрузок в неделю);
• [email protected] (197,99 млн загрузок в неделю);
• [email protected] (19,2 млн загрузок в неделю);
• [email protected] (261,17 млн загрузок в неделю);
• [email protected] (59,8 млн загрузок в неделю);
• [email protected] (26,26 млн загрузок в неделю);
• [email protected] (73,8 млн загрузок в неделю);
• [email protected] (47,17 млн загрузок в неделю);
• [email protected] (12,1 млн загрузок в неделю);
• [email protected] (243,64 млн загрузок в неделю);
• [email protected] (371,41 млн загрузок в неделю);
• [email protected] (287,1 млн загрузок в неделю);
• [email protected] (1100 загрузок в неделю);
• [email protected] (357,6 млн загрузок в неделю).

«Скомпрометировав Qix, злоумышленники получили возможность распространять вредоносные версии пакетов, от которых косвенно зависят бесчисленные приложения, библиотеки и фреймворки, — предупреждают ИБ-исследователи из компании Socket. — Учитывая масштаб и пострадавшие пакеты, по-видимому, это была целенаправленная атака, которая должна была максимально охватить всю экосистему».

По информации специалистов Aikido Security, которые тоже изучают инцидент, захватив контроль, злоумышленники обновили пакеты, внедрив в файлы index.js 280 строк вредоносного кода, который действует как перехватчик и способен захватывать сетевой трафик и API приложений.

Малварь затрагивает только пользователей, обращающихся к скомпрометированным приложениям через веб, отслеживая адреса и криптовалютные транзакции, которые затем перенаправляются на кошельки, контролируемые самими атакующими.

Исследователи пишут, что малварь внедряется в браузер и отслеживает адреса криптокошельков, а также переводы Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash. Вредонос подменяет адреса получателей на подконтрольные хакерам адреса и перехватывает транзакции до их подписания. Сообщается, что это реализовано при помощи перехвата JavaScript-функций, таких как fetch, XMLHttpRequest и API кошельков (window.ethereum, Solana и так далее).

«Пакеты были обновлены кодом, который будет выполняться на стороне клиента, незаметно перехватывая крипто- и web3-активность в браузере, манипулируя взаимодействиями с кошельками и изменяя платежные адреса таким образом, чтобы средства и подтверждения перенаправлялись на подконтрольные атакующими аккаунты без каких-либо очевидных признаков для пользователя, — объясняют в Aikido Security. — Опасность этого вредоносного ПО заключается в том, что оно действует на нескольких уровнях: изменяет контент, отображаемый на сайтах, вмешивается в вызовы API и манипулирует тем, что, по мнению приложений, они подписывают».

Издание Bleeping Computer отмечает, что для компрометации приложения в связи с этой атакой на цепочку поставок требовалось соблюдение ряда условий:

• новая установка осуществлялась между 9:00 и 11:30 по восточному времени (AM ET), когда пакеты были скомпрометированы;
• в это время был создан Package-lock.json;
• взломанные пакеты были в числе прямых или транзитивных зависимостей.

При этом эксперты из некоммерческой организации Security Alliance (SEAL) и исследователи VXUnderground пишут, что атаку вряд ли можно называть успешной. Дело в том, что злоумышленники, осуществившие крупнейшую в истории атаку на цепочку поставок, «заработали» на этом от нескольких центов до 50 долларов, по оценкам исследователей.

Эксперты пишут, что в код малвари закралась ошибка, из-за чего злоумышленники подставляли не свои криптовалютные кошельки, а адреса Uniswap и других swap-контрактов (вместо адресов реальных получателей). То есть похищенные деньги, по сути, отправлялись в никуда.



Тем не менее, главный технический директор компании Ledger Шарль Гийем (Charles Guillemet) опубликовал срочное предупреждение и посоветовал пользователям, у которых нет аппаратных кошельков, избегать on-chain транзакций, пока последствия атаки не будут ясны до конца.

«Зараженные пакеты уже скачали более миллиарда раз, что может поставить под угрозу всю экосистему JavaScript. Вредоносная полезная нагрузка незаметно подменяет криптоадреса “на лету” для кражи средств. Если вы используете аппаратный кошелек, обращайте внимание на каждую транзакцию перед подписанием, и вы будете в безопасности. Если вы не используете аппаратный кошелек, воздержитесь пока от любых on-chain транзакций. Пока неясно, похищают ли злоумышленники seed-фразы непосредственно из программных кошельков», — предупредил Гийем.