Найбільша атака на ланцюг постачання в історії націлена на користувачів криптовалют через скомпрометовані пакети JavaScript

Нова кібератака безшумно націлюється на криптовалюту користувачів під час транзакцій на тлі інциденту, який дослідники з безпеки описують як найбільшу атаку на ланцюг постачання в історії.

BleepingComputer повідомив, що хакери скомпрометували облікові записи підтримувачів пакетів NPM через фішингові електронні листи та впровадили шкідливе програмне забезпечення, яке викрадає криптовалюту.

Атака була спрямована на розробників JavaScript за допомогою шахрайських електронних листів, які виглядали так, ніби вони надходять від “support@npmjs.help”, підробленого домену, що імітує легітимний реєстр NPM.

Фішингові повідомлення попереджали підтримувачів, що їхні облікові записи будуть заблоковані 10 вересня, якщо вони не оновлять свої облікові дані двофакторної аутентифікації через шкідливе посилання.

Зловмисникам вдалося скомпрометувати 18 широко використовуваних пакетів JavaScript із сукупною кількістю завантажень понад 2,6 мільярда на тиждень.

До скомпрометованих бібліотек входять основні інструменти розробки, такі як “chalk” (300 мільйонів завантажень на тиждень), “debug” (358 мільйонів) та “ansi-styles” (371 мільйон), що впливає практично на всю екосистему JavaScript.

Націлення на криптовалюту

Шкідливий код працює як перехоплювач на основі браузера, відстежуючи мережевий трафік для криптовалютних транзакцій у мережах Ethereum, Bitcoin, Solana, Tron, Litecoin та Bitcoin Cash.

Коли користувачі ініціюють перекази криптовалюти, шкідливе ПЗ безшумно замінює адреси гаманців-одержувачів на облікові записи, контрольовані зловмисниками, до підписання транзакції.

Дослідник безпеки Aikido Security Чарлі Еріксен пояснив:

“Небезпека полягає в тому, що воно працює на декількох рівнях: змінює вміст, що відображається на вебсайтах, втручається в API-запити та маніпулює тим, що додатки користувачів вважають, що вони підписують.”

Технічний директор Ledger Шарль Гійомет попередив користувачів криптовалюти про постійну загрозу, зазначивши, що екосистема JavaScript може бути скомпрометована з огляду на величезну кількість завантажень.

Користувачі апаратних гаманців залишаються захищеними, якщо перевіряють деталі транзакції перед підписанням, тоді як користувачі програмних гаманців мають вищий ризик. Гійомет порадив:

“Якщо ви не використовуєте апаратний гаманець, утримайтеся від здійснення будь-яких on-chain транзакцій наразі.”

Він також зазначив невизначеність щодо того, чи можуть зловмисники безпосередньо отримати seed-фрази з програмних гаманців.

Складне націлення

Атака є прикладом складного націлення на ланцюг постачання, коли злочинці компрометують довірену інфраструктуру розробки, щоб дістатися до кінцевих користувачів.

Проникнувши у пакети, які завантажують мільярди разів щотижня, зловмисники отримали безпрецедентний доступ до криптовалютних застосунків і інтерфейсів гаманців.

BleepingComputer ідентифікував фішингову інфраструктуру, яка ексфільтрує облікові дані на “websocket-api2.publicvm.com”, що демонструє скоординований характер операції.

Цей інцидент стався після подібних компрометацій бібліотек JavaScript протягом 2025 року, включаючи атаку в липні на “eslint-config-prettier”, яка мала 30 мільйонів завантажень на тиждень, та компрометації в березні, що вплинули на десять популярних бібліотек NPM.

Публікація Largest supply chain attack in history targets crypto users through compromised JavaScript packages вперше з’явилася на CryptoSlate.