CTO Ledger, Шарль Гійєме, повідомив на X про атаку на ланцюг постачання, що стосується широко використовуваних пакетів NPM
Триває масштабна атака на ланцюг постачання: обліковий запис NPM шанованого розробника було скомпрометовано. Постраждалі пакунки вже завантажувалися більше 1 мільярда разів, що означає, що вся екосистема JavaScript може бути під загрозою.
Шкідливий вантаж працює…
— Чарльз Гійомет (@P3b7_) 8 вересня 2025 року
Згідно з доповіддю CoinDesk, деякі скомпрометовані версії – з загальною кількістю завантажень понад 1 мільярд – містять код, здатний «на льоту» замінювати адреси призначення в крипто-транзакціях, перенаправляючи кошти на гаманці, контрольовані зловмисниками. Цей сценарій відповідає рекомендаціям щодо захисту ланцюгів постачання, опублікованим галузевими організаціями, такими як OWASP, які підкреслюють, як компрометації ланцюгів постачання можуть мати масштабні наслідки.
Згідно з даними, зібраними нашою командою з аналізу загроз за останні 24 години, з'явилися ознаки компрометації, які відповідають техніці, описаній у кількох репозиторіях та конвеєрах збірки. Аналітики, з якими ми співпрацюємо, також підкреслюють, що обсяг інциденту посилюється транзитивними залежностями та розміром реєстру: реєстр NPM містить понад 2 мільйони пакетів, що збільшує ймовірність розповсюдження скомпрометованого модуля.
Механізм атаки: Адреси змінюються "на льоту"
Тим не менше, зловмисний код активується як під час операцій в блокчейні, так і в момент генерації або підписання транзакції. На практиці, шкідливе ПЗ перехоплює адресу отримувача і замінює її на ту, що належить зловмисникам. Користувач, бачачи, здавалося б, "чистий" екран, може не усвідомлювати, що остаточна транзакція надсилає кошти на іншу адресу – динаміка, яка також підтверджена The Block. Слід зазначити, що маніпуляція спрямована на те, щоб залишатися непомітною до останнього етапу підтвердження.
Оновлення щодо атаки NPM: Атака, на щастя, зазнала невдачі, майже не було жертв.
Це почалося з фішингового електронного листа з фейкового домену підтримки npm, який викрадав облікові дані та давав зловмисникам доступ до публікації шкідливих оновлень пакетів. Введений код націлювався на веб-криптоактивність,… pic.twitter.com/lOik6k7Dkp
— Шарль Гійєме (@P3b7_) 9 вересня 2025 року
Залучені пакети: номери, тимчасові назви та розподіл
Попередні аналізи вказують на те, що компрометація сталася внаслідок експлуатації облікового запису одного з підтримувачів, який має доступ до широко використовуваних бібліотек. Серед імен, що circulating, є, наприклад, пакет error-ex – офіційний профіль якого можна переглянути на npmjs.com – хоча офіційні списки все ще оновлюються. Вплив посилюється каскадним ефектом через залежності: один скомпрометований модуль може поширитися на сотні проєктів завдяки ланцюгам імпорту. Справді, модульна природа коду JavaScript полегшує розповсюдження проблеми, коли залежності глибоко вкладені.
Масштаб впливу: понад 1 мільярд кумулятивних завантажень потенційно ризикованих версій.
Вектор: публікації на NPM через вкрадені облікові дані або скомпрометований конвеєр.
Обсяг: основні бібліотеки, використані в веб-проектах та гаманцях.
Офіційні списки постраждалих пакетів та версій є частковими; рекомендується слідкувати за попередженнями NPM та репозиторіями утримувачів. Однак, до моменту надання остаточних повідомлень, доцільно вважати всю ланцюг залежностей під загрозою.
Вплив на користувачів та бізнес
Пряме крадіжка криптовалюти після хитрої заміни адреси.
Цілісність програми порушена в dApp, розширеннях та десктопних/веб-гаманцях.
Репутаційний ризик для проектів, які інтегрують забруднені пакунки.
Що робити негайно: аварійний контрольний список
Для кінцевих користувачів (crypto)
Вибирайте гаманці, які чітко відображають інформацію про транзакції (екран і чіткий підпис – Чітке підписання ), перевіряючи адресу та суму на пристрої перед підтвердженням. Для практичного керівництва дивіться наш посібник щодо перевірки апаратних гаманців.
Уникайте сліпого підписання та обмежте використання неперевірених QR-кодів.
Порівняйте відображену адресу з безпечною копією та використовуйте білоруські списки для частих отримувачів.
Ця запобіжна міра є вирішально важливою, оскільки підтвердження на апаратному гаманці показує дані, які насправді підписуються, що робить будь-яку заміну адреси з боку програмного забезпечення хоста очевидною. У цьому контексті перевірка на екрані пристрою зменшує ймовірність помилки або маніпуляцій з боку постачальника.
Для команд розробки
Тимчасово призупинити автоматичні оновлення критичних залежностей.
Виконати аудит та відкат версій, опублікованих у підозрілому періоді.
Повернути токени NPM і зробити активацію 2FA обов'язковою для обслуговуючих та випускаючих (дивіться тут).
Увімкніть системи походження для публікацій та підпишіть артефакти збірки.
Як перевірити, чи є проект під загрозою
Швидке виявлення підозрілих залежностей та встановлених діапазонів версій є критично важливим: своєчасне розвідка обмежує доміно-ефект у конвеєрах.
Список встановлених версій та ланцюг залежностей
Помилка НПМ ЛС
Перевірте відомі вразливості та рекомендації
Аудит НПМ – виробництво
Аудит NPM – JSON > audit.json
Блокувати недетерміновані оновлення в CI
npm ci –ignore-scripts
Встановити більш суворий поріг аудиту
npm config set audit-level=high
Перевірте доступні версії та дати публікації
Версії NPM View Error-ex –JSON
npm view error-ex time –json
У контекстах CI встановлення ignore-scripts=true допомагає зменшити ризик виконання шкідливих пост-інсталяційних скриптів. Однак рекомендується відразу ж встановити відтворювану базу, щоб уникнути несподіваних відхилень. Для розширеного контрольного списку перевірок CI зверніться до нашої сторінки з кращими практиками в ланцюгу постачання.
Посилення ланцюга постачання: рекомендовані технічні заходи захисту
Використовуйте детермінований файл блокування (package-lock.json) та розгорніть за допомогою npm ci, щоб забезпечити відтворюваність.
Увімкніть 2FA на NPM для публікацій та критичного доступу, використовуючи токени з обмеженими обсягами (automation vs. publish).
Впровадити обов'язковий код-рев'ю та використовувати ізольовану CI-пайплайн з підписуванням артефактів.
Використовуйте системи походження, посилаючись на офіційну документацію про походження пакетів npm та стандарти, такі як SLSA.
Використовуйте інструменти сканування та контрольовані оновлення, такі як Dependabot, Renovate та sigstore/cosign, де це застосовно.
Застосуйте принцип найменших привілеїв для облікових записів розробників і ботів для випуску.
Хронологія та статус розслідувань
Сьогодні, 8 вересня 2025 року, було опубліковано попередження, і наразі тривають перевірки. Офіційні рекомендації та оновлені списки скомпрометованих пакетів і версій будуть поступово оприлюднені. Тому рекомендується дотримуватися обережного підходу, призупинивши неістотні оновлення, поки показники компрометації не будуть консолідовані. У очікуванні подальших відгуків пріоритетом залишається обмеження експозиції та ретельне документування кожної зміни.
Критичний кут: Ланцюг довіри все ще крихкий
Відкрита постачальницька мережа залишається вразливою, коли доступ до облікових записів та публікаційні канали не захищені належним чином. Проблема стає особливо актуальною, коли в 2025 році численні публікації все ще відбуваються без систематичного впровадження таких заходів, як 2FA, походження та ретельні перевірки.
Доки довіра сприймається як належне, кожен проєкт продовжуватиме піддаватися ризику, який генерується іншими. Проте навіть незначні покращення в процесах можуть суттєво зменшити площу для атак.
Точка
Цей епізод підкреслює, наскільки критично важливо забезпечити безпеку ланцюга постачання в програмному забезпеченні з відкритим кодом. Поки тривають розслідування, пріоритетом буде обмежити поверхні атак, ретельно перевіряти дані транзакцій на екрані та консолідувати процеси публікації шляхом впровадження 2FA, lockfile та систем походження.
Прозорість рекомендацій, на яку вказують численні експерти, буде вирішальною для вимірювання реального впливу та відновлення довіри до екосистеми. У цьому контексті дотримання найкращих практик залишається єдиним негайним захистом.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
NPM під атакою: скомпрометовані пакети JavaScript, вкрадені криптоадреси. Попередження від Ledger...
CTO Ledger, Шарль Гійєме, повідомив на X про атаку на ланцюг постачання, що стосується широко використовуваних пакетів NPM
Триває масштабна атака на ланцюг постачання: обліковий запис NPM шанованого розробника було скомпрометовано. Постраждалі пакунки вже завантажувалися більше 1 мільярда разів, що означає, що вся екосистема JavaScript може бути під загрозою.
Шкідливий вантаж працює…
— Чарльз Гійомет (@P3b7_) 8 вересня 2025 року
Згідно з доповіддю CoinDesk, деякі скомпрометовані версії – з загальною кількістю завантажень понад 1 мільярд – містять код, здатний «на льоту» замінювати адреси призначення в крипто-транзакціях, перенаправляючи кошти на гаманці, контрольовані зловмисниками. Цей сценарій відповідає рекомендаціям щодо захисту ланцюгів постачання, опублікованим галузевими організаціями, такими як OWASP, які підкреслюють, як компрометації ланцюгів постачання можуть мати масштабні наслідки.
Згідно з даними, зібраними нашою командою з аналізу загроз за останні 24 години, з'явилися ознаки компрометації, які відповідають техніці, описаній у кількох репозиторіях та конвеєрах збірки. Аналітики, з якими ми співпрацюємо, також підкреслюють, що обсяг інциденту посилюється транзитивними залежностями та розміром реєстру: реєстр NPM містить понад 2 мільйони пакетів, що збільшує ймовірність розповсюдження скомпрометованого модуля.
Механізм атаки: Адреси змінюються "на льоту"
Тим не менше, зловмисний код активується як під час операцій в блокчейні, так і в момент генерації або підписання транзакції. На практиці, шкідливе ПЗ перехоплює адресу отримувача і замінює її на ту, що належить зловмисникам. Користувач, бачачи, здавалося б, "чистий" екран, може не усвідомлювати, що остаточна транзакція надсилає кошти на іншу адресу – динаміка, яка також підтверджена The Block. Слід зазначити, що маніпуляція спрямована на те, щоб залишатися непомітною до останнього етапу підтвердження.
Оновлення щодо атаки NPM: Атака, на щастя, зазнала невдачі, майже не було жертв.
Це почалося з фішингового електронного листа з фейкового домену підтримки npm, який викрадав облікові дані та давав зловмисникам доступ до публікації шкідливих оновлень пакетів. Введений код націлювався на веб-криптоактивність,… pic.twitter.com/lOik6k7Dkp
— Шарль Гійєме (@P3b7_) 9 вересня 2025 року
Залучені пакети: номери, тимчасові назви та розподіл
Попередні аналізи вказують на те, що компрометація сталася внаслідок експлуатації облікового запису одного з підтримувачів, який має доступ до широко використовуваних бібліотек. Серед імен, що circulating, є, наприклад, пакет error-ex – офіційний профіль якого можна переглянути на npmjs.com – хоча офіційні списки все ще оновлюються. Вплив посилюється каскадним ефектом через залежності: один скомпрометований модуль може поширитися на сотні проєктів завдяки ланцюгам імпорту. Справді, модульна природа коду JavaScript полегшує розповсюдження проблеми, коли залежності глибоко вкладені.
Масштаб впливу: понад 1 мільярд кумулятивних завантажень потенційно ризикованих версій.
Вектор: публікації на NPM через вкрадені облікові дані або скомпрометований конвеєр.
Обсяг: основні бібліотеки, використані в веб-проектах та гаманцях.
Офіційні списки постраждалих пакетів та версій є частковими; рекомендується слідкувати за попередженнями NPM та репозиторіями утримувачів. Однак, до моменту надання остаточних повідомлень, доцільно вважати всю ланцюг залежностей під загрозою.
Вплив на користувачів та бізнес
Пряме крадіжка криптовалюти після хитрої заміни адреси.
Цілісність програми порушена в dApp, розширеннях та десктопних/веб-гаманцях.
Репутаційний ризик для проектів, які інтегрують забруднені пакунки.
Що робити негайно: аварійний контрольний список
Для кінцевих користувачів (crypto)
Вибирайте гаманці, які чітко відображають інформацію про транзакції (екран і чіткий підпис – Чітке підписання ), перевіряючи адресу та суму на пристрої перед підтвердженням. Для практичного керівництва дивіться наш посібник щодо перевірки апаратних гаманців.
Уникайте сліпого підписання та обмежте використання неперевірених QR-кодів.
Порівняйте відображену адресу з безпечною копією та використовуйте білоруські списки для частих отримувачів.
Ця запобіжна міра є вирішально важливою, оскільки підтвердження на апаратному гаманці показує дані, які насправді підписуються, що робить будь-яку заміну адреси з боку програмного забезпечення хоста очевидною. У цьому контексті перевірка на екрані пристрою зменшує ймовірність помилки або маніпуляцій з боку постачальника.
Для команд розробки
Тимчасово призупинити автоматичні оновлення критичних залежностей.
Виконати аудит та відкат версій, опублікованих у підозрілому періоді.
Повернути токени NPM і зробити активацію 2FA обов'язковою для обслуговуючих та випускаючих (дивіться тут).
Увімкніть системи походження для публікацій та підпишіть артефакти збірки.
Як перевірити, чи є проект під загрозою
Швидке виявлення підозрілих залежностей та встановлених діапазонів версій є критично важливим: своєчасне розвідка обмежує доміно-ефект у конвеєрах.
Список встановлених версій та ланцюг залежностей
Помилка НПМ ЛС
Перевірте відомі вразливості та рекомендації
Аудит НПМ – виробництво
Аудит NPM – JSON > audit.json
Блокувати недетерміновані оновлення в CI
npm ci –ignore-scripts
Встановити більш суворий поріг аудиту
npm config set audit-level=high
Перевірте доступні версії та дати публікації
Версії NPM View Error-ex –JSON
npm view error-ex time –json
У контекстах CI встановлення ignore-scripts=true допомагає зменшити ризик виконання шкідливих пост-інсталяційних скриптів. Однак рекомендується відразу ж встановити відтворювану базу, щоб уникнути несподіваних відхилень. Для розширеного контрольного списку перевірок CI зверніться до нашої сторінки з кращими практиками в ланцюгу постачання.
Посилення ланцюга постачання: рекомендовані технічні заходи захисту
Використовуйте детермінований файл блокування (package-lock.json) та розгорніть за допомогою npm ci, щоб забезпечити відтворюваність.
Увімкніть 2FA на NPM для публікацій та критичного доступу, використовуючи токени з обмеженими обсягами (automation vs. publish).
Впровадити обов'язковий код-рев'ю та використовувати ізольовану CI-пайплайн з підписуванням артефактів.
Використовуйте системи походження, посилаючись на офіційну документацію про походження пакетів npm та стандарти, такі як SLSA.
Використовуйте інструменти сканування та контрольовані оновлення, такі як Dependabot, Renovate та sigstore/cosign, де це застосовно.
Застосуйте принцип найменших привілеїв для облікових записів розробників і ботів для випуску.
Хронологія та статус розслідувань
Сьогодні, 8 вересня 2025 року, було опубліковано попередження, і наразі тривають перевірки. Офіційні рекомендації та оновлені списки скомпрометованих пакетів і версій будуть поступово оприлюднені. Тому рекомендується дотримуватися обережного підходу, призупинивши неістотні оновлення, поки показники компрометації не будуть консолідовані. У очікуванні подальших відгуків пріоритетом залишається обмеження експозиції та ретельне документування кожної зміни.
Критичний кут: Ланцюг довіри все ще крихкий
Відкрита постачальницька мережа залишається вразливою, коли доступ до облікових записів та публікаційні канали не захищені належним чином. Проблема стає особливо актуальною, коли в 2025 році численні публікації все ще відбуваються без систематичного впровадження таких заходів, як 2FA, походження та ретельні перевірки.
Доки довіра сприймається як належне, кожен проєкт продовжуватиме піддаватися ризику, який генерується іншими. Проте навіть незначні покращення в процесах можуть суттєво зменшити площу для атак.
Точка
Цей епізод підкреслює, наскільки критично важливо забезпечити безпеку ланцюга постачання в програмному забезпеченні з відкритим кодом. Поки тривають розслідування, пріоритетом буде обмежити поверхні атак, ретельно перевіряти дані транзакцій на екрані та консолідувати процеси публікації шляхом впровадження 2FA, lockfile та систем походження.
Прозорість рекомендацій, на яку вказують численні експерти, буде вирішальною для вимірювання реального впливу та відновлення довіри до екосистеми. У цьому контексті дотримання найкращих практик залишається єдиним негайним захистом.