Атака на NPM локалізована, постраждалих майже немає — CTO Ledger

Фішингова атака через NPM дозволила зловмисникам випустити шкідливі оновлення пакетів, які підміняли адреси гаманців. Через збої інцидент швидко виявили; за даними Arkham, збитки склали близько $503.

Широко обговорюваний інцидент у ланцюжку постачання NPM був оперативно локалізований і майже не спричинив збитків, повідомив Шарль Гійоме, технічний директор Ledger. За його словами, атака розпочалася з фішингових листів з підробленого домену служби підтримки NPM, які викрали облікові дані розробників і дозволили зловмиснику опублікувати шкідливі оновлення пакетів.

Впроваджений код був націлений на браузерні криптооперації в мережах Ethereum, Solana та інших. Він підміняв адреси одержувачів у мережевих відповідях — класичний спосіб перехоплення транзакцій без відома користувача. Однак помилки в реалізації викликали збої в CI/CD-пайплайнах, що сприяло ранньому виявленню інциденту та обмежило його наслідки.

На щастя, атака провалилася, і постраждалих майже немає,

— сказав Шарль Гійоме.

До ранку вівторка кілька команд, зокрема Uniswap, Morpho, MetaMask, OKX Wallet, Sui, Aave, Trezor і Lido, заявили, що інцидент їх не торкнувся. За оцінкою компанії з ончейн-аналітики Arkham, зловмиснику вдалося привласнити лише близько $503, відстежуючи перекази на адреси, вказані в первинному повідомленні Гійоме.

Група з кібербезпеки SEAL Org назвала результат «везінням». Якби шкідливий код був реалізований обережніше, збитки могли б бути значно більшими, оскільки через скомпрометований обліковий запис публікували пакети, які завантажуються мільярдами разів на тиждень.

Шарль Гійоме підкреслив, що компрометація ланцюжків постачання ПЗ залишається потужним вектором атак і стає все більш прицільною. Він порекомендував користувачам переходити на апаратні гаманці та вмикати захист на кшталт функцій Clear Signing і Transaction Checks, які показують, що саме ви підтверджуєте, і допомагають виявити підозрілі дії до підписання транзакції.

Подальші дослідження вказують на більш широку тенденцію: зловмисники все частіше комбінують ончейн-методи і методи з open-source екосистеми. Деякі з них навіть маскують сигнали командного управління (C2) всередині смартконтрактів Ethereum, щоб направляти шкідливий код через NPM і обходити стандартні засоби виявлення.