По словам отраслевых экспертов по безопасности, хакерам удалось украсть всего $50 в ходе масштабной атаки на цепочку поставок, затронувшей библиотеки программного обеспечения JavaScript.
Платформа криптоаналитики Security Alliance поделилась результатами расследования в понедельник после того, как злоумышленники взломали учетную запись менеджера пакетов NPM известного разработчика программного обеспечения и добавили вредоносное ПО в популярные библиотеки JavaScript, которые уже были загружены более миллиарда раз, потенциально поставив под угрозу бесчисленные криптопроекты. По словам Security Alliance, целями атаки стали кошельки Ethereum и Solana.
К счастью, на данный момент из криптопространства было украдено менее $50, сообщила компания Security Alliance, идентифицировав адрес кошелька Ethereum "0xFc4a48" как единственный известный злоумышленный адрес. Компания добавила в X:
«Представьте себе: вы взламываете учетную запись разработчика NPM, чьи пакеты загружаются более 2 миллиардов раз в неделю. У вас появляется неограниченный доступ к миллионам рабочих станций разработчиков. Вас ждут несметные богатства. Вы зарабатываете менее $50».
«Хакер не смог в полной мере использовать полученный доступ. Это как найти карту доступа к Форт-Ноксу и использовать ее в качестве закладки. Вредоносное ПО было широко распространено, но на данный момент почти полностью нейтрализовано», — рассказал анонимный исследователь безопасности SEAL Samczsun в отдельном комментарии для Cointelegraph.
Сумма в $50, однако, была увеличена с пяти центов несколько часов назад, что указывает на то, что потенциальный ущерб может продолжать нарастать.
ETH и мемкоины среди небольшого количества украденного крипто
Пять центов были украдены в Ether (ETH), а еще $20 в виде мемкоина было скомпрометировано, сообщила Security Alliance.
Данные Etherscan показывают, что злоумышленный адрес получил мемкоины Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) и Gondola (GONDOLA).
Криптопроекты, которые не скачали NPM, все еще находятся в зоне риска
Взлом затронул такие пакеты, как chalk, strip-ansi и color-convert, — небольшие утилиты, глубоко скрытые в деревьях зависимостей бесчисленных проектов. Даже разработчики, которые никогда не устанавливали их напрямую, могут быть подвержены риску.
Злоумышленники, по-видимому, установили crypto-clipper, тип вредоносного ПО, которое беззвучно заменяет адреса кошельков во время транзакций для перенаправления средств.
Главный технический директор Ledger Charles Guillemet и многие другие призвали пользователей криптовалют проявлять осторожность при подтверждении ончейн-транзакций.
Ledger и MetaMask среди крипто-приложений, не затронутых атакой
Поставщики кошельков Ledger и MetaMask отметили, что их платформы защищены от атаки NPM, указав на «многоуровневую защиту» для защиты от таких атак.
Команда Phantom Wallet заявила, что не использует какие-либо уязвимые версии затронутых пакетов, а Uniswap отметил, что ни одно из его приложений не находится в зоне риска.
Aerodrome, Blast, Blockstream Jade и Revoke.cash были среди других криптоплатформ, заявивших, что на них не повлияла атака на цепочку поставок.
Вы не будете мгновенно ограблены, говорит основатель крипто-проекта
0xngmi, анонимный основатель платформы криптоаналитики DefiLlama, однако заявил, что в зоне риска могут оказаться только криптопроекты, которые обновились после публикации зараженного NPM-пакета. Даже в этом случае пользователи должны одобрить вредоносную транзакцию, чтобы она сработала.
Хотя, как и Guillemet, он сказал, что, возможно, безопаснее избегать использования криптовеб-сайтов, пока разработчики этих платформ не очистят вредоносные пакеты.
