CTO Ledger, Шарль Гийемэ, сообщил в X о атаке на цепочку поставок, затрагивающей широко используемые пакеты NPM
В настоящее время происходит крупномасштабная атака на цепочку поставок: учетная запись NPM у уважаемого разработчика была скомпрометирована. Затронутые пакеты уже были загружены более 1 миллиарда раз, что означает, что вся экосистема JavaScript может быть под угрозой.
Вредоносный код работает…
— Шарль Гийемет (@P3b7_) 8 сентября 2025 года
Согласно отчету CoinDesk, некоторые скомпрометированные версии – всего более 1 миллиарда загрузок – содержат код, способный заменять "на лету" адреса назначения в криптотрензакциях, перенаправляя средства на кошельки, контролируемые злоумышленниками. Этот сценарий соответствует рекомендациям по защите цепочки поставок, опубликованным отраслевыми организациями, такими как OWASP, которые подчеркивают, как компрометации цепочки поставок могут иметь масштабные последствия.
Согласно данным, собранным нашей командой по оценке угроз за последние 24 часа, появились индикаторы компрометации, соответствующие технике, описанной в нескольких репозиториях и конвейерах сборки. Аналитики, с которыми мы сотрудничаем, также подчеркивают, что масштаб инцидента усиливается переходными зависимостями и размером реестра: реестр NPM содержит более 2 миллионов пакетов, что увеличивает вероятность распространения скомпрометированного модуля.
Механизм атаки: адреса изменены «на лету»
Тем не менее, вредоносный код активируется как во время операций в сети, так и в момент генерации или подписания транзакции. На практике вредоносное ПО перехватывает адрес получателя и заменяет его на адрес, принадлежащий злоумышленникам. Пользователь, видя на экране, казалось бы, "чистую" картину, может не осознавать, что финальная транзакция отправляет средства на другой адрес – динамика, также подтвержденная The Block. Следует отметить, что манипуляция направлена на то, чтобы оставаться невидимой до последнего этапа подтверждения.
Обновление по атаке NPM: К счастью, атака провалилась, практически не оставив жертв.
Все началось с фишингового письма от поддельного домена поддержки npm, которое украло учетные данные и дало злоумышленникам доступ для публикации вредоносных обновлений пакетов. Внедренный код нацелился на веб-криптоактивность,… pic.twitter.com/lOik6k7Dkp
— Шарль Гийемет (@P3b7_) 9 сентября 2025 года
Задействованные пакеты: номера, предварительные названия и распределение
Первоначальные анализы указывают на то, что компрометация произошла из-за эксплуатации учетной записи поддерживающего, имеющего доступ к широко используемым библиотекам. Среди имен, которые циркулируют, например, пакет error-ex – его официальный профиль можно увидеть на npmjs.com – хотя официальные списки все еще обновляются. Влияние усиливается каскадным эффектом из-за зависимостей: один скомпрометированный модуль может распространиться на сотни проектов благодаря цепочкам импорта. Действительно, модульная природа кода JavaScript облегчает распространение проблемы, когда зависимости глубоко вложены.
Масштаб воздействия: более 1 миллиарда совокупных загрузок потенциально рискованных версий.
Вектор: публикации на NPM через украденные учетные данные или скомпрометированный конвейер.
Область: основные библиотеки, используемые в веб-проектах и кошельках.
Официальные списки затронутых пакетов и версий являются частичными; рекомендуется следить за уведомлениями NPM и репозиториями мейнтейнеров. Однако, до тех пор, пока не будут сделаны окончательные сообщения, разумно считать всю цепочку зависимостей находящейся под угрозой.
Влияние на пользователей и бизнес
Прямой кражи криптовалюты после хитрой замены адреса.
Целостность приложения нарушена в dApp, расширениях и десктопных/веб-кошельках.
Репутационный риск для проектов, которые интегрируют загрязненные пакеты.
Что делать немедленно: Чек-лист на случай чрезвычайной ситуации
Для конечных пользователей (крипто)
Предпочитайте кошельки, которые четко отображают информацию о транзакциях (экран и четкую подпись – Чистая подпись), проверяя адрес и сумму на устройстве перед подтверждением. Для практических рекомендаций смотрите наше руководство по проверке аппаратных кошельков.
Избегайте слепой подписи и ограничьте использование непроверенных QR-кодов.
Сравните отображаемый адрес с безопасной копией и используйте белые списки для частых получателей.
Эта мера предосторожности имеет решающее значение, поскольку подтверждение на аппаратном кошельке показывает данные, которые действительно подписываются, что делает любое замещение адреса со стороны программного обеспечения хоста очевидным. В этом контексте проверка на экране устройства снижает вероятность ошибки или манипуляции на более высоком уровне.
Для команд разработчиков
Временно приостановить автоматические обновления критически важных зависимостей.
Проведите аудит и откат версий, опубликованных в подозрительный период.
Проведите ротацию токенов NPM и сделайте активацию 2FA обязательной для поддерживающих и выпускающих (см. здесь).
Включите системы происхождения для публикаций и подпишите артефакты сборки.
Как проверить, если проект подвержен риску
Быстрая идентификация подозрительных зависимостей и установленных диапазонов версий имеет решающее значение: своевременная разведка ограничивает эффект домино в каналах.
Список установленных версий и цепочка зависимостей
npm ls error-ex
Проверьте известные уязвимости и рекомендации
Аудит НПМ – производство
Аудит NPM – JSON > audit.json
Блокировать недетерминированные обновления в CI
npm ci –ignore-scripts
Установить более строгий порог аудита
Набор конфигураций npm audit-level=high
Проверьте доступные версии и даты публикации
npm view error-ex versions –json
npm view error-ex time –json
В контексте CI установка ignore-scripts=true помогает снизить риск выполнения вредоносных скриптов после установки. Тем не менее, рекомендуется сразу установить воспроизводимую базу, чтобы избежать неожиданных отклонений. Для расширенного контрольного списка по проверкам CI обратитесь к нашей странице по лучшим практикам цепочки поставок.
Укрепление цепочки поставок: рекомендуемые технические меры защиты
Используйте детерминированный файл блокировки (package-lock.json) и развертывайте с помощью npm ci для обеспечения воспроизводимости.
Включите 2FA на NPM для публикаций и критического доступа, используя токены с ограниченными правами (automation vs. publish).
Внедрите обязательный код-ревью и используйте изолированный CI-пайплайн с подписыванием артефактов.
Применяйте системы происхождения, ссылаясь на официальную документацию по происхождению пакетов npm и стандартам, таким как SLSA.
Используйте инструменты сканирования и контролируемые обновления, такие как Dependabot, Renovate и sigstore/cosign, где это применимо.
Примените принцип наименьших привилегий для аккаунтов мейнтейнеров и ботов для релиза.
Хронология и статус расследований
Сегодня, 8 сентября 2025 года, была опубликована тревога, и в настоящее время проводятся проверки. Официальные уведомления и обновленные списки скомпрометированных пакетов и версий будут постепенно опубликованы. Поэтому рекомендуется соблюдать осторожный подход, приостановив несущественные обновления до тех пор, пока индикаторы компрометации не будут консолидированы. В ожидании дальнейших отзывов приоритетом остается сдерживание воздействия и тщательное документирование каждого изменения.
Критический угол: Цепь доверия все еще хрупка
Открытая цепочка поставок остается уязвимой, когда доступ к учетным записям и публикационные потоки не защищены должным образом. Проблема становится особенно актуальной, когда в 2025 году многочисленные публикации все еще происходят без систематического внедрения таких мер, как 2FA, происхождение и строгие проверки.
Пока доверие воспринимается как должное, каждый проект будет продолжать подвергаться риску, создаваемому другими. Тем не менее, даже небольшие улучшения в процессах могут значительно уменьшить поверхность атаки.
Точка
Этот выпуск подчеркивает, насколько критична безопасность цепочки поставок в программном обеспечении с открытым исходным кодом. Пока продолжаются расследования, приоритетом будет ограничение атакующих поверхностей, тщательная проверка данных транзакций на экране и консолидация процессов публикации через внедрение 2FA, lockfile и систем происхождения.
Прозрачность рекомендаций, как отмечают многочисленные эксперты, будет иметь решающее значение для оценки реального воздействия и восстановления доверия к экосистеме. В этом контексте соблюдение лучших практик остается единственной немедленной гарантией.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
NPM под атакой: скомпрометированные пакеты JavaScript, похищенные криптоадреса. Предупреждение от Ledger...
CTO Ledger, Шарль Гийемэ, сообщил в X о атаке на цепочку поставок, затрагивающей широко используемые пакеты NPM
В настоящее время происходит крупномасштабная атака на цепочку поставок: учетная запись NPM у уважаемого разработчика была скомпрометирована. Затронутые пакеты уже были загружены более 1 миллиарда раз, что означает, что вся экосистема JavaScript может быть под угрозой.
Вредоносный код работает…
— Шарль Гийемет (@P3b7_) 8 сентября 2025 года
Согласно отчету CoinDesk, некоторые скомпрометированные версии – всего более 1 миллиарда загрузок – содержат код, способный заменять "на лету" адреса назначения в криптотрензакциях, перенаправляя средства на кошельки, контролируемые злоумышленниками. Этот сценарий соответствует рекомендациям по защите цепочки поставок, опубликованным отраслевыми организациями, такими как OWASP, которые подчеркивают, как компрометации цепочки поставок могут иметь масштабные последствия.
Согласно данным, собранным нашей командой по оценке угроз за последние 24 часа, появились индикаторы компрометации, соответствующие технике, описанной в нескольких репозиториях и конвейерах сборки. Аналитики, с которыми мы сотрудничаем, также подчеркивают, что масштаб инцидента усиливается переходными зависимостями и размером реестра: реестр NPM содержит более 2 миллионов пакетов, что увеличивает вероятность распространения скомпрометированного модуля.
Механизм атаки: адреса изменены «на лету»
Тем не менее, вредоносный код активируется как во время операций в сети, так и в момент генерации или подписания транзакции. На практике вредоносное ПО перехватывает адрес получателя и заменяет его на адрес, принадлежащий злоумышленникам. Пользователь, видя на экране, казалось бы, "чистую" картину, может не осознавать, что финальная транзакция отправляет средства на другой адрес – динамика, также подтвержденная The Block. Следует отметить, что манипуляция направлена на то, чтобы оставаться невидимой до последнего этапа подтверждения.
Обновление по атаке NPM: К счастью, атака провалилась, практически не оставив жертв.
Все началось с фишингового письма от поддельного домена поддержки npm, которое украло учетные данные и дало злоумышленникам доступ для публикации вредоносных обновлений пакетов. Внедренный код нацелился на веб-криптоактивность,… pic.twitter.com/lOik6k7Dkp
— Шарль Гийемет (@P3b7_) 9 сентября 2025 года
Задействованные пакеты: номера, предварительные названия и распределение
Первоначальные анализы указывают на то, что компрометация произошла из-за эксплуатации учетной записи поддерживающего, имеющего доступ к широко используемым библиотекам. Среди имен, которые циркулируют, например, пакет error-ex – его официальный профиль можно увидеть на npmjs.com – хотя официальные списки все еще обновляются. Влияние усиливается каскадным эффектом из-за зависимостей: один скомпрометированный модуль может распространиться на сотни проектов благодаря цепочкам импорта. Действительно, модульная природа кода JavaScript облегчает распространение проблемы, когда зависимости глубоко вложены.
Масштаб воздействия: более 1 миллиарда совокупных загрузок потенциально рискованных версий.
Вектор: публикации на NPM через украденные учетные данные или скомпрометированный конвейер.
Область: основные библиотеки, используемые в веб-проектах и кошельках.
Официальные списки затронутых пакетов и версий являются частичными; рекомендуется следить за уведомлениями NPM и репозиториями мейнтейнеров. Однако, до тех пор, пока не будут сделаны окончательные сообщения, разумно считать всю цепочку зависимостей находящейся под угрозой.
Влияние на пользователей и бизнес
Прямой кражи криптовалюты после хитрой замены адреса.
Целостность приложения нарушена в dApp, расширениях и десктопных/веб-кошельках.
Репутационный риск для проектов, которые интегрируют загрязненные пакеты.
Что делать немедленно: Чек-лист на случай чрезвычайной ситуации
Для конечных пользователей (крипто)
Предпочитайте кошельки, которые четко отображают информацию о транзакциях (экран и четкую подпись – Чистая подпись), проверяя адрес и сумму на устройстве перед подтверждением. Для практических рекомендаций смотрите наше руководство по проверке аппаратных кошельков.
Избегайте слепой подписи и ограничьте использование непроверенных QR-кодов.
Сравните отображаемый адрес с безопасной копией и используйте белые списки для частых получателей.
Эта мера предосторожности имеет решающее значение, поскольку подтверждение на аппаратном кошельке показывает данные, которые действительно подписываются, что делает любое замещение адреса со стороны программного обеспечения хоста очевидным. В этом контексте проверка на экране устройства снижает вероятность ошибки или манипуляции на более высоком уровне.
Для команд разработчиков
Временно приостановить автоматические обновления критически важных зависимостей.
Проведите аудит и откат версий, опубликованных в подозрительный период.
Проведите ротацию токенов NPM и сделайте активацию 2FA обязательной для поддерживающих и выпускающих (см. здесь).
Включите системы происхождения для публикаций и подпишите артефакты сборки.
Как проверить, если проект подвержен риску
Быстрая идентификация подозрительных зависимостей и установленных диапазонов версий имеет решающее значение: своевременная разведка ограничивает эффект домино в каналах.
Список установленных версий и цепочка зависимостей
npm ls error-ex
Проверьте известные уязвимости и рекомендации
Аудит НПМ – производство
Аудит NPM – JSON > audit.json
Блокировать недетерминированные обновления в CI
npm ci –ignore-scripts
Установить более строгий порог аудита
Набор конфигураций npm audit-level=high
Проверьте доступные версии и даты публикации
npm view error-ex versions –json
npm view error-ex time –json
В контексте CI установка ignore-scripts=true помогает снизить риск выполнения вредоносных скриптов после установки. Тем не менее, рекомендуется сразу установить воспроизводимую базу, чтобы избежать неожиданных отклонений. Для расширенного контрольного списка по проверкам CI обратитесь к нашей странице по лучшим практикам цепочки поставок.
Укрепление цепочки поставок: рекомендуемые технические меры защиты
Используйте детерминированный файл блокировки (package-lock.json) и развертывайте с помощью npm ci для обеспечения воспроизводимости.
Включите 2FA на NPM для публикаций и критического доступа, используя токены с ограниченными правами (automation vs. publish).
Внедрите обязательный код-ревью и используйте изолированный CI-пайплайн с подписыванием артефактов.
Применяйте системы происхождения, ссылаясь на официальную документацию по происхождению пакетов npm и стандартам, таким как SLSA.
Используйте инструменты сканирования и контролируемые обновления, такие как Dependabot, Renovate и sigstore/cosign, где это применимо.
Примените принцип наименьших привилегий для аккаунтов мейнтейнеров и ботов для релиза.
Хронология и статус расследований
Сегодня, 8 сентября 2025 года, была опубликована тревога, и в настоящее время проводятся проверки. Официальные уведомления и обновленные списки скомпрометированных пакетов и версий будут постепенно опубликованы. Поэтому рекомендуется соблюдать осторожный подход, приостановив несущественные обновления до тех пор, пока индикаторы компрометации не будут консолидированы. В ожидании дальнейших отзывов приоритетом остается сдерживание воздействия и тщательное документирование каждого изменения.
Критический угол: Цепь доверия все еще хрупка
Открытая цепочка поставок остается уязвимой, когда доступ к учетным записям и публикационные потоки не защищены должным образом. Проблема становится особенно актуальной, когда в 2025 году многочисленные публикации все еще происходят без систематического внедрения таких мер, как 2FA, происхождение и строгие проверки.
Пока доверие воспринимается как должное, каждый проект будет продолжать подвергаться риску, создаваемому другими. Тем не менее, даже небольшие улучшения в процессах могут значительно уменьшить поверхность атаки.
Точка
Этот выпуск подчеркивает, насколько критична безопасность цепочки поставок в программном обеспечении с открытым исходным кодом. Пока продолжаются расследования, приоритетом будет ограничение атакующих поверхностей, тщательная проверка данных транзакций на экране и консолидация процессов публикации через внедрение 2FA, lockfile и систем происхождения.
Прозрачность рекомендаций, как отмечают многочисленные эксперты, будет иметь решающее значение для оценки реального воздействия и восстановления доверия к экосистеме. В этом контексте соблюдение лучших практик остается единственной немедленной гарантией.