Крипто-краже от вредоносных программ инфильтрирует основные библиотеки JavaScript, используемые миллионами
Аккаунт NPM (Node Packet Manager) разработчика `Qix` был скомпрометирован, что позволило хакерам публиковать вредоносные версии своих пакетов.
Атакующие опубликовали вредоносные версии десятков чрезвычайно популярных пакетов JavaScript, включая фундаментальные утилиты. Взлом был массовым по объему, поскольку затронутые пакеты имеют более 1 миллиарда комбинированных еженедельных загрузок.
Эта атака на цепочку поставок программного обеспечения специально предназначена для экосистемы JavaScript/Node.js.
NPM Attack Chain Supply Attack
Популярный Dev Qix стал жертвой фишинга. Злоупотребленный код, вводимый в пакеты NPM, теперь угнает крипто -транзакции при подписании.
Метод атаки:
• Функции крючков кошелька (запрос/отправка)
• Следует адреса реципиента в транзакциях ETH/SOL
• Заменяет… pic.Twitter.com/jn9h4hwp8v— мошенничество сноффер | Web3 Anti-Scam (@RealScamSniffer) 8 сентября 2025 г.
Крипто -клиппер вредоносное ПО
Злоусовеченный код представлял собой «крипто-клип», предназначенный для кражи криптовалюты путем замены адресов кошелька в сетевых запросах и непосредственно захватывая крипто-транзакции. Это также было сильно запутано, чтобы избежать обнаружения.
В вредоносном ПО в крипто-устремлении есть два вектора атаки. Когда не найдено расширение крипто-кошелька, вредоносное ПО перехватывает весь сетевой трафик, заменяя нативные функции браузера и HTTP-запросы на обширные списки адресов кошелька, принадлежащих злоумышленнику.
По словам исследователей кибербезопасности, используя сложный обмена адресами, он использует алгоритмы для поиска замены адресов, которые визуально похожи на законные, что делает мошенничество практически невозможным для обнаженного глаза.
Если найден крипто -кошелек, перед подписью перехватывает транзакции вредоносного ПО, а когда пользователи инициируют транзакции, он изменяет их в памяти, чтобы перенаправить средства на адреса злоумышленника.
Атака, нацеленные на пакеты, такие как «Мел,` `strip-ansi», «Color-Convert», `и` color-name », которые представляют собой основные строительные блоки, похороненные глубоко в деревьях зависимости бесчисленных проектов.
Атака была обнаружена случайно, когда сбоя сбоя сборки с ошибкой «выборка не определяется», поскольку вредоносное ПО попыталось экстрафильтратировать данные, используя функцию Fetch.
«Если вы используете аппаратный кошелек, обратите внимание на каждую транзакцию перед подписанием, и вы в безопасности. Если вы не используете аппаратный кошелек, воздержитесь от совершения каких-либо транзакций в цепочке»,-посоветовал генеральный директор Ledger Charles Guillemet.
Объяснение текущего взлома NPM
На любом веб -сайте, который использует эту взломанную зависимость, она дает шанс хакеру для инъекции вредоносного кода, поэтому, например, когда вы нажимаете кнопку «Смена» на веб -сайте, код может заменить TX, отправленный вашему кошельку на TX, отправляя деньги на…
— 0xngmi (@0xngmi) 8 сентября 2025 г.
Широкий вектор атаки
В то время как полезная нагрузка вредоносного ПО специально предназначена для криптовалюты, вектор атаки намного шире. Он влияет на любую среду, в которой работают приложения JavaScript/Node.js, такие как веб-приложения, работающие в браузерах, настольные приложения, приложения на стороне сервера.
Таким образом, обычное деловое веб -приложение может неосознанно включать в себя эти вредоносные пакеты, но вредоносное ПО активируется только тогда, когда пользователи взаимодействуют с криптовалютой на этом сайте.
Uniswap и Blockstream были одними из первых, кто заверил пользователей, что их системы не подвержены риску.
Что касается отчетов атаки цепочки поставок NPM:
Приложения UnisWap не подвержены риску
Наша команда подтвердила, что мы не используем никаких уязвимых версий затронутых пакетов
Как всегда, будь бдительным
— Uniswap Labs (@uniswap) 8 сентября 2025 г.
Источник: cryptospy.ru