Внимание криптопользователям: массовая атака на JavaScript-библиотеки NPM

Недавно произошла крупнейшая атака на сеть поставок программного обеспечения, которая может затронуть миллионы пользователей и криптопроектов. Хакеры внедрили вредоносный код в популярные библиотеки JavaScript, чтобы перехватывать криптотранзакции и подменять адреса кошельков.

🧠 Что случилось?

Хакеры взломали аккаунт уважаемого разработчика на платформе NPM (Node Package Manager) — это как App Store для программистов, где хранятся миллионы модулей JavaScript.
Они незаметно добавили вредоносный код в популярные библиотеки, такие как:

• chalk

• strip-ansi

• color-convert

Эти библиотеки используются практически в каждом проекте — в совокупности их скачивают более миллиарда раз в неделю. Даже если разработчик напрямую их не устанавливал, они могут быть глубоко в зависимостях.

💀 Что делает вирус?

Это вредоносное ПО — crypto-clipper. Оно:

• 🔄 Подменяет адреса кошельков при отправке транзакций

• 🕵️‍♂️ Незаметно перехватывает API-запросы

• 👀 Меняет то, что вы видите на сайте (например, адрес получателя)

В результате, вы можете думать, что отправляете крипту себе или другу, а она уходит хакеру.

🛡 Кто под угрозой?

• 🔓 Пользователи программных кошельков — в группе риска

• 🔐 Пользователи аппаратных кошельков, которые подтверждают каждую транзакцию вручную, — защищены

💡 Важно: вредонос не «сосёт» средства сам — вы должны сами подтвердить транзакцию. Но код может подменить детали прямо перед отправкой.

🚫 Пользователям советуют временно избегать криптосервисов

🧠 Исследователи предупреждают: вредоносные библиотеки не крадут средства автоматически, но могут подменить данные, когда вы нажимаете кнопку “Swap” или “Send”.

🛑 Лучше избегать использования криптосервисов (DeFi-платформ, Web3-приложений), пока не будут опубликованы безопасные версии библиотек. Это особенно актуально для активных пользователей MetaMask, Phantom и других браузерных кошельков.

🧪 Как произошёл взлом?

Хакеры отправили фишинговые письма с требованием «обновить двухфакторную аутентификацию до 10 сентября». Те, кто перешёл по ссылке, попали на фейковый сайт, где сдали свои логины и пароли.

📬 После этого злоумышленники получили доступ к аккаунтам разработчиков и впрыснули вирус в популярные библиотеки.

🔁 Почему это так опасно?

Атака идёт на нескольких уровнях одновременно:

• Меняет содержимое веб-сайтов

• Подменяет API-запросы

• Искажает интерфейс перед подтверждением транзакции

📉 Даже опытные пользователи могут не заметить подвох.

🛡️ Как защититься

• ✅ Используйте аппаратные кошельки и проверяйте каждый шаг вручную.

• 🧩 Разработчикам: заморозьте зависимости (pin dependencies) и избегайте обновлений заражённых библиотек.

• 👨‍💻 Обычным пользователям: временно не совершайте криптосделок через сайты DeFi/Web3, особенно с браузерными кошельками.

• 🔐 Включите двухфакторную аутентификацию только через официальные сайты.

🧩 Заключение

Это напоминание о том, что открытое ПО — мощный, но уязвимый инструмент. Даже самые надёжные библиотеки могут стать источником опасности, если скомпрометированы.

🔐 Защити себя: будь внимателен, проверяй адреса, используй холодные кошельки и не доверяй слепо интерфейсу.