Масштабная хакерская атака на программное обеспечение ставит под угрозу каждую криптовалютную транзакцию

Крупная кибератака потрясла глобальную экосистему программного обеспечения и поставила под угрозу миллионы пользователей криптовалют. Хакеры взломали популярный аккаунт разработчика на npm — платформе, которая обеспечивает работу значительной части интернета, — и внедрили вредоносные обновления в широко используемые библиотеки кода.

Эти библиотеки глубоко интегрированы во множество приложений и веб-сайтов. В совокупности их скачивают более 1 миллиарда раз каждую неделю. Такой масштаб делает этот инцидент одной из крупнейших атак на цепочку поставок программного обеспечения за всю историю.

Новый вредоносный код, нацеленный на криптовалютные транзакции

Вредоносный код нацелен на криптовалютные транзакции. Он действует двумя способами.

Во-первых, если кошелек не обнаружен, вредоносная программа ищет крипто-адреса на сайте и заменяет их адресами, контролируемыми злоумышленниками. 

Используются изощренные методы подмены на визуально почти идентичные адреса. Это облегчает пользователям пропустить подмену.

НЕ ИСПОЛЬЗУЙТЕ СВОЙ КРИПТО-КОШЕЛЕК, если вы не уверены, что он не затронут NPM Javascript Hack. Согласно коду, который я изучал, атака нацелена на браузерные кошельки, такие как metamask, перехватывая методы браузера, такие как fetch и XMLHttpRequest. Код выбирает…

— Scott Emick 🇺🇸 (@semick) September 8, 2025

Во-вторых, если присутствует кошелек типа MetaMask, код активно изменяет транзакции. 

Когда пользователь готовится отправить средства, вредоносная программа перехватывает данные и подменяет получателя на адрес злоумышленника. Если пользователь подпишет транзакцию, не проверив детали, его средства будут украдены.

Каждый пользователь криптовалюты может быть под угрозой

Атака началась с того, что аккаунт разработчика под именем Qix на npm был скомпрометирован. Хакеры опубликовали новые версии десятков его пакетов, включая основные утилиты, упомянутые выше.

Разработчики, обновившие свои проекты, автоматически получили заражённые версии. Любой сайт или децентрализованное приложение, внедрившее их, могло неосознанно подвергнуть своих пользователей опасности.

Нарушение было обнаружено только после того, как ошибка сборки привлекла внимание к странному, нечитаемому коду внутри одного из обновленных пакетов. 

Позже эксперты по безопасности выяснили, что это был сложный “crypto-clipper”, предназначенный для незаметного перенаправления средств.

Угроза особенно серьезна для тех, кто совершает транзакции через веб-браузер. Если вы скопировали адрес с сайта или подписали перевод, не проверив детали, вы могли оказаться под угрозой.

Технический директор Ledger выступил с резким предупреждением в социальных сетях.

🚨 Ведется масштабная атака на цепочку поставок: аккаунт уважаемого разработчика на NPM был скомпрометирован. Заражённые пакеты уже были скачаны более 1 миллиарда раз, что означает, что вся JavaScript-экосистема может быть под угрозой. Вредоносный код работает…

— Charles Guillemet (@P3b7_) September 8, 2025

Что делать сейчас

Эксперты рекомендуют срочно предпринять следующие шаги всем держателям криптовалют:

• Проверяйте адреса: Всегда внимательно читайте полный адрес на экране подтверждения кошелька или аппаратного устройства перед подписью.
• Приостановите активность, если не уверены: Если вы используете браузерный или программный кошелек, воздержитесь от транзакций, пока не появится больше информации.
• Проверьте недавнюю активность: Просмотрите прошлые переводы и разрешения. Если заметите что-то подозрительное, отзовите разрешения и переведите средства на новый кошелек.
• Используйте тестовые транзакции: При отправке на новый адрес сначала переведите небольшую сумму, чтобы убедиться, что она дошла.
• Используйте аппаратные кошельки: Устройства, отображающие детали транзакции на отдельном экране, остаются самым безопасным вариантом.

Эта атака показывает, насколько хрупким может быть доверие к экосистеме open-source программного обеспечения. Один скомпрометированный аккаунт разработчика позволил хакерам внедрить опасный код в миллиарды загрузок.

Инцидент все еще развивается. Вредоносные версии удаляются, но некоторые могут оставаться в сети еще несколько дней или недель. Самый безопасный подход — сохранять бдительность.

Если вы используете криптовалюту, проверяйте каждую транзакцию очень внимательно. Еще один взгляд на адрес в вашем кошельке может стать разницей между безопасностью и кражей.