Крупнейшая атака на цепочку поставок: хакеры перехватывают пакеты NPM

CTO Ledger написал Ведётся масштабная атака на цепочку поставок аккаунт NPM известного разработчика был скомпрометирован Заражённые пакеты уже были загружены более миллиарда раз что может поставить под угрозу всю экосистему JavaScript Вредоносная нагрузка работает путем скрытой замены криптоадресов на лету с целью кражи средств Если вы используете аппаратный кошелек обращайте внимание на каждую транзакцию перед подписанием и вы в безопасности Если вы не используете аппаратный кошелек воздержитесь пока от совершения каких либо транзакций в сети Пока неясно крадет ли на этом этапе злоумышленник также и начальные фразы непосредственно из программных кошельков

Хакеры сейчас перехватывают пакеты NPM у Ledger это крупнейшая атака на цепочку в истории технический директор аппаратного кошелька Ledger Если вы используете аппаратный кошелёк обращайте внимание на каждую транзакцию перед подписанием Если вы не используете аппаратный кошелёк воздержитесь пока от любых блокчейн транзакций banksta

Крупнейшая supply chain атака в истории взломаны пакеты NPM загруженные более 1 млрд раз Хакеры взломали популярные библиотеки в NPM которые программисты используют для JavaScript Вредонос перехватывает адреса криптокошельков автоматически подменяет их на адреса злоумышленников и изменяет API ответы и интерфейсы в браузере чтобы пользователь думал что подписывает корректную транзакцию CTO Ledger советует внимательно проверять каждую операцию при использовании холодных кошельков и временно воздержаться от любых on chain транзакций через горячие кошельки типа Metamask или Trust Wallet

Джаваскриптизёры доброе утро в npm всплыли вредоносные версии 18 популярных либ включая chalk и debug Только за неделю у этих пакетов обычно бывает более 2 млрд скачиваний и они ставятся транзитивно практически в каждом проекте Вредонос умело подменяет адреса криптокошельков прямо в браузере чтобы незаметно тянуть деньги через Web3 интерфейсы Взлом начался с фишинга одного из мейнтейнеров 5 сентября его аккаунт увели и опубликовали заражённые релизы Проверьте свои lock файлы и срочно обновляйтесь Это одна из самых масштабных JS атак за последнее время

18 пакетов с миллиардами загрузок скомпрометированы в npm Используемые во множестве веб проектов npm пакеты color debug ansi regex chalk и другие были кратковременно скомпрометированы вечером 8 сентября Злоумышленники провели фишинговую атаку на мейнтейнера этих пакетов и убедили его обновить 2FA заманив на сайт копию npm Пакеты которые были троянизированы имеют более 2 млрд еженедельных загрузок по подсчётам Aikido security Это делает атаку самой масштабной в истории Во все пакеты был добавлен обфусцированный Javascript который действуя на уровне браузера перехватывает на клиентском устройстве сетевой трафик и API запросы и подменяет данные связанные с криптокошельками Ethereum Bitcoin Solana Litecoin Bitcoin Cash и Tron Таким образом любые веб приложения собранные с применением троянизированных пакетов превращаются в криптодрейнер Администрация npm начала реагировать спустя примерно 3 часа и удалила заражённые пакеты Поступают сообщения других разработчиков что они получали аналогичное письмо поэтому возможно список поражённых npm пакетов будет расширяться Полный список как обычно есть у GitHub Разработчикам рекомендовано провести аудит зависимостей в своих проектах и если в них используются один из скомпрометированных пакетов закрепить pin безопасную версию с помощью фичи overrides в package json Более подробная инструкция здесь Пользователи продуктов Лаборатории Касперского защищены от этой угрозы даже если она проникла на какой то из посещаемых ими сайтов угрозы П2Т

Хакеры в моменте перехватили пакеты NPM крупнейшая атака на цепочку поставок в истории Это значит что злоумышленники могут подменять код и воровать средства поэтому CTO Ledger советует проверять каждую транзакцию на аппаратных кошельках и временно избегать ончейн операций без них DeCenter

Технический директор Ledger предупреждает о масштабной хакерской атаке на криптоэкосистему JavaScript и советует пока не совершать транзакции в блокчейне Аккаунт NPM известного разработчика был скомпрометирован Зараженные пакеты уже были загружены более миллиарда раз что может поставить под угрозу всю экосистему JavaScript Вредоносная нагрузка работает путем скрытой замены криптоадресов на лету с целью кражи средств Если вы используете аппаратный кошелек обращайте внимание на каждую транзакцию перед подписанием и вы в безопасности Если вы не используете аппаратный кошелек воздержитесь пока от совершения каких либо транзакций в сети Пока неясно крадет ли на этом этапе злоумышленник также и начальные фразы непосредственно из программных кошельков CryptoPizza News ставь реакцию для поддержки канала

Серьезная кибератака вызвала тревогу в криптовалютном сообществе особенно после того как была взломана учетная запись Node Package Manager NPM Вредоносный код использованный в этой атаке функционирует как криптоклиппер тип вредоносного ПО предназначенный для перехвата и изменения криптовалютных транзакций На этом фоне в понедельник изменение котировки криптовалют было незначительным Биткоин вырос на 0 85 до 112 084 Эфириум просел на 0 06 до 4 303 сообщает Bitcoinist

JavaScript разрабы общий сбор хакеры заразили 18 популярных либ прямо в npm Компания Aikido Security сообщила о масштабной атаке вредоносные версии выложили сразу в 18 популярных библиотек включая chalk debug supports color strip ansi и другие Эти пакеты ставятся транзитивно почти везде только за неделю у них больше 2 млрд скачиваний Доступ злоумышленники получили через фишинг один из мейнтейнеров повёлся на письмо от поддельного support npmjs help После компрометации его аккаунта в npm оказались заражённые сборки часть из которых до сих пор доступна С полным списком зараженных пакетов и самой историей можно ознакомиться в материале на нашем сайте npm install global paranoya your tech

Хакеры атаковали аккаунт одного из топовых разработчиков NPM библиотеки для JavaScript и вшили в нее скрипт который меняет криптовалютный адрес при отправке средств Еженедельное количество загрузок пакета превышает миллиард Сообщается что несмотря на масштабы потери пользователей пока ограничились 50 Технический директор Ledger Шарль Гийме призвал пользователей аппаратных кошельков обращать внимание на каждую транзакцию перед подписанием а остальных воздержаться от совершения каких либо транзакций в сети Новости AI YouTube