Тревожный сигнал прозвучал в начале недели: технический директор Ledger Шарль Гийомэт публично обратился к сообществу и попросил временно отказаться от любых ончейн-транзакций тем, кто не пользуется аппаратными кошельками. Причина — масштабная атака на цепочку поставок, которая затронула один из самых популярных аккаунтов разработчика в NPM. Пакеты с вредоносным кодом суммарно скачали более 1 миллиарда раз, а значит — под ударом оказался весь JavaScript-экосистем.
Что произошло
Хакеры получили доступ к учётке разработчика с ником qix и внедрили вредоносный код прямо в библиотеки. Алгоритм простой и крайне опасный: он подменяет криптовалютные адреса в транзакциях, перенаправляя средства злоумышленникам. Методика до боли знакомая — именно такие трюки использовали северокорейские хакеры при атаке на Bybit, где им удалось украсть более $1,5 млрд.
На этот раз ущерб оказался несопоставимо меньше: пока известно лишь о $498, похищенных у невнимательных пользователей. Но эксперты уверены — дело не только в цифрах, а в том, насколько глубоко заражение могло проникнуть в проекты и сервисы.
Как отреагировало сообщество
Разработчики заметили проблему почти сразу. В частности, @0x_ultra сообщил, что пострадали библиотеки вроде Chalk (более 2 млрд загрузок в неделю). Там вредонос мог потенциально красть приватные ключи.
Скомпрометированный автор подтвердил факт взлома: его поймали на классическую фишинговую удочку. Ему пришло письмо «от имени NPM» с угрозой заблокировать аккаунт и ссылкой на поддельный сайт. Этого хватило, чтобы в систему проник злоумышленник.
К счастью, около 15:15 UTC заражённые пакеты успели оперативно «залатать». Но те сайты и приложения, что недавно обновляли зависимости, по-прежнему могут нести риск.
Кого задело…
Сразу несколько крупных игроков поспешили успокоить пользователей: Uniswap, Metamask, Ledger, OKX Wallet, Sui, Aave и Morpho официально заявили, что их продукты уязвимости не затронули.
Сам Ledger тоже подтвердил: аппаратные кошельки с «чистым» подтверждением транзакций защищены. А вот всем остальным Гийомэт посоветовал быть предельно осторожными и пока воздержаться от любых переводов.
Эксперты уже называют инцидент одной из крупнейших атак на цепочку поставок в истории. Ведь речь идёт не о взломе конкретного кошелька или биржи, а о самом процессе распространения софта. И последствия могут быть непредсказуемыми: от мелких краж до массовых утечек средств у разработчиков, которые обновили библиотеки, не проверив изменения.
«Это плохой день, но не смертельный удар», — так прокомментировал случившееся Гийомэт. По его словам, для криптоиндустрии это ещё одно напоминание, что безопасность — не абстракция, а ежедневная необходимость.