В результате взлома учетной записи менеджера пакетов узлов (NPM) и добавления вредоносного скрипта в библиотеки JavaScript для атаки на криптокошельки ущерб составил ~$20. К таким выводам пришли в Security Alliance (SEAL).
Число загрузок ПО превысило 1 млрд, что потенциально подвергло риску бесчисленное количество криптопроектов. По словам специалистов, целью атаки были кошельки Ethereum (ETH) и Solana (SOL).
Согласно Etherscan, $0,05 похищены в Ethereum, еще $20 — в мемкоинах.
Среди них:
Brett (BRETT);
Andy (ANDY);
Dork Lord (DORK);
Ethervista (VISTA);
Gondola (GONDOLA).
На текущий момент представляет угрозу лишь единственный Ethereum-адрес «0xFc4a48».
«Вообразите: вы взламываете учетную запись разработчика NPM, пакеты которого скачиваются более 2 млрд раз в неделю. Вы получаете неограниченный доступ к миллионам рабочих станций разработчиков. Вас ждут неисчислимые богатства. Мир лежит у ваших ног. Ваша прибыль менее $50», — говорится в сообщении.
По теме: смарт-контракты Ethereum стали хранилищем вредоносных ссылок
«Хакер не воспользовался перехваченным доступом. Это все равно что найти ключ-карту от Форт-Нокса и применять ее в качестве закладки. Вредоносное ПО получило широкое распространение, но на данный момент его почти полностью нейтрализовали», — сообщил эксперт SEAL под псевдонимом Samczsun.
Сохранение угрозы
Потенциальный ущерб может возрасти.
Криптопроекты, которые не загрузили NPM, по-прежнему находятся в опасности.
Атака была направлена на такие пакеты, как chalk, strip-ansi и color-convert — небольшие утилиты, спрятанные глубоко в дереве зависимостей в бесчисленных проектах. Даже разработчики, которые никогда не устанавливали их напрямую, могли подвергнуться риску.
NPM представляет собой магазин приложений для разработчиков — центральная библиотека, где специалисты обмениваются и скачивают небольшие пакеты кода для создания проектов на JavaScript.
По теме: хакеры вывели $13,5 млн с кошелька пользователя Venus Protocol
Злоумышленники внедрили так называемый крипто-клиппер — тип вредоносного ПО, которое незаметно заменяет адреса во время транзакций, чтобы перенаправить средства.
Технический директор Ledger Шарль Гийеме был одним из многих, кто призвал пользователей проявлять осторожность при подтверждении транзакций.
Основатель платформы DefiLlama под ником 0xngmi предупредил, что под угрозой могут оказаться только криптопроекты, которые были обновлены после публикации зараженного ПО пакета NPM.
Даже в этом случае пользователи должны одобрить вредоносную транзакцию, чтобы она сработала.
Как и Гийеме, 0xngmi рекомендовал избегать криптовалютных веб-сайтов, пока разработчики платформ не «очистят» плохие пакеты.
Ledger и MetaMask
Представители Ledger и MetaMask сообщили, что «многоуровневая защита» их кошельков оберегает от атаки NPM.
В Phantom Wallet заявили, что не используют уязвимые версии затронутых пакетов.
В Uniswap отметили, что ни одно из ее приложений не подвергается риску.
Aerodrome, Blast, Blockstream Jade и Revoke.cash оказались среди других проектов, которые подтвердили отсутствие ущерба от атаки на цепочку поставок.
По теме: Kerberus купила Pocket Universe для создания «первого криптоантивируса»