Атака на NPM локализована, пострадавших почти нет — CTO Ledger

Фишинговая атака через NPM позволила злоумышленникам выпустить вредоносные обновления пакетов, которые подменяли адреса кошельков. Из-за сбоев инцидент быстро обнаружили; по данным Arkham, убытки составили около $503.

Широко обсуждавшийся инцидент в цепочке поставок NPM был локализован и практически не привел к жертвам, сообщил Шарль Гийоме, технический директор Ledger. По его словам, атака началась с фишинговых писем с поддельного домена службы поддержки NPM, которые похитили учетные данные разработчиков и позволили злоумышленнику опубликовать вредоносные обновления пакетов.

Внедренный код был нацелен на браузерные криптооперации в сетях Ethereum, Solana и других. Он подменял адреса получателей в сетевых ответах – классический способ перехвата транзакций без ведома пользователя. Однако ошибки в реализации вызвали сбои в CI/CD-пайплайнах, что привело к раннему обнаружению инцидента и ограничило его последствия.

Атака, к счастью, провалилась, и пострадавших почти нет,

— сказал Шарль Гийоме.

К утру вторника несколько команд, включая Uniswap, Morpho, MetaMask, OKX Wallet, Sui, Aave, Trezor и Lido, заявили, что инцидент их не затронул. Компания по ончейн-аналитике Arkham оценила, что злоумышленнику удалось присвоить примерно $503, отслеживая переводы на адреса, указанные в первоначальном оповещении Гийоме.

Группа по кибербезопасности SEAL Org охарактеризовала исход как «везение», отметив, что компрометированная учетная запись, через которую публикуются пакеты, скачиваемые миллиардами раз в неделю, могла бы привести к куда большему ущербу, если бы вредоносная нагрузка была менее заметной.

Шарль Гийоме подчеркнул, что компрометации цепочек поставок ПО остаются мощным вектором атак и становятся все более прицельными. Он порекомендовал пользователям переходить на аппаратные кошельки и включать защиты вроде функций Clear Signing и Transaction Checks — они показывают, что именно вы подтверждаете, и помогают обнаружить подозрительные действия до подписи транзакции.

Дальнейшие исследования указывают на более широкую тенденцию: злоумышленники все чаще комбинируют ончейн-методы и приемы из open-source экосистемы. Некоторые из них даже маскируют сигналы командного управления (C2) внутри смарт-контрактов Ethereum, чтобы направлять вредоносный код через NPM и обходить стандартные средства обнаружения.