Атака на ланцюг поставок NPM: що сталося та як це виправити

Індустрія криптовалют та світ загалом нещодавно пережили стривоження, коли експерти з безпеки виявили атаку на ланцюг поставок, спрямовану на екосистему Node.js, яка вже скомпрометувала аж 18 npm-пакетів.

Це тому, що ці кілька пакетів отримують мільярди завантажень на тиждень.

Програмні пакети використовуються розповсюджувати стороннє програмне забезпечення. Часто отримані із зовнішнього джерела через менеджер пакетів, вони зазвичай містять вихідний код, бібліотеки, документацію та інші файли, необхідні для збірки та запуску програмного забезпечення.

Тепер пакет, що містить шкідливе програмне забезпечення, маскується під легітимний, хоча насправді він є шкідливим і має намір заразити програмне забезпечення. Після проникнення в систему шкідливе програмне забезпечення в пакеті може змінювати файли, викрасти даніі навіть захопити контроль над усією системою, щоб виконувати бажання зловмисника.

Хоча інші великі екосистеми з відкритим кодом, такі як Python та .NET, так само вразливі до атак, широке використання JavaScript робить його особливо вразливим для кіберзлочинців.

Node.js — це середовище виконання з відкритим кодом, побудоване на JavaScript, яке дозволяє розробникам виконувати свій код поза веббраузером. 

Традиційно інтерпретована мова програмування, відома, головним чином, тим, що допомагає зробити веб-сторінки інтерактивними, в основному використовувалася для веб-розробки на стороні клієнта в браузерах, але Node.js розширив використання JavaScript на серверні та інші програми.

За допомогою Node.js розробники можуть створювати швидкі та масштабовані додатки, такі як веб-сервери, API, інструменти тощо.

Він має переваги величезної екосистеми бібліотек та інструментів з відкритим кодом, доступних через npm, що спрощує розробку та надає рішення для різних функцій.

Менеджер пакетів Node, або npm, є ключовим інструментом у розробці JavaScript, який використовується знаходити, створювати та керувати пакетами коду. Це допомагає в обробці залежностей, забезпеченні співпраці та оптимізації робочих процесів. 

Цей найбільший у світі реєстр програмного забезпечення містить понад 3 мільйони пакетів коду та є повністю безкоштовним у використанні. 

Будь-хто може завантажити всі публічні пакети програмного забезпечення npm без необхідності реєстрації. Розробники з відкритим кодом використовують npm для обміну та запозичення програмного забезпечення, тоді як багато організацій використовують його для управління приватною розробкою.

Щоб встановити npm на свій комп'ютер, спочатку потрібно встановити Node.js.

Менеджер пакетів для JavaScript підтримується npm, Inc., дочірньою компанією GitHub, провідної світової платформи розробки програмного забезпечення, яка належить Microsoft з 2018 року, коли технологічний гігант придбав її за 7.5 мільярда доларів, щоб надати розробникам можливості. 

Минулого тижня інструмент, на який покладаються понад 17 мільйонів розробників у всьому світі, був скомпрометований, що викликало паніку в Інтернеті, хоча й ненадовго, оскільки експерти виявили це на ранній стадії, і зловмисники не змогли вкрасти більше 50 доларів. Ось що сталося!

Що сталося під час атаки на ланцюг поставок NPM (вересень 2025 р.)

Під час масштабної атаки на ланцюг поставок, яка сталася в екосистемі JavaScript, хакери скомпрометували серію npm-пакетів за допомогою шкідливого програмного забезпечення. Метою атаки було викрасти цифрові активи у нічого не підозрюючих користувачів. 

Зокрема, було зламано обліковий запис npm розробника qix. 

Qix — це обліковий запис розробника з відкритим кодом, який був скомпрометований шляхом фішингової атаки. Цей дозволили зловмисникам заразити 18 популярних npm-пакетів шкідливим кодом. Разом ці пакети завантажуються сотні мільйонів разів лише щотижня, оскільки вони вбудовані у фреймворках, інструментах розробника та виробничих сервісах.

Серед пакетів, на які це впливає, є chalk, debug, color-name, wrap-ansi та ansi-styles, які є одними з найпопулярніших, а серед менш популярних npm-пакетів – backslash, chalk-template та has-ansi.
Проведіть пальцем, щоб прокрутити →

Усі пакети, на які це вплинуло, з того часу видалено реєстром npm. Компрометуючи цінного розробника програмного забезпечення з відкритим кодом, атака підірвала довіру до екосистеми програмного забезпечення з відкритим кодом (OSS) як зброю, оскільки розробники не перевіряють кожну залежність. вони використовують. Вони покладаються на своє використання та репутацію, а також безпека реєстрів.

Щоб скомпрометувати пакети, хакер обрав фішинговий шлях. Зловмисник спочатку розпочав фішингову кампанію з викрадання облікового запису розробника npm-пакету, потім впровадив свій шкідливий код у npm-пакети перед завантаженням їхніх скомпрометованих версій.

Розробник Джош Джунон став жертвою фішингового електронного листа, який був частиною масштабнішої кампанії, що імітувала npm. Тож зловмисники використали фішинговий сайт, який імітував сторінку входу npm, щоб викрасти його облікові дані. І щойно зловмисники отримали доступ, вони заблокували Джунона, змінивши адресу електронної пошти, зареєстровану для облікового запису npm Джунона.

«Привіт, так, мене підловили. Вибачте всі, дуже ніяково». пише Джунон на HackerNews підтвердив інцидент. Він пояснив, а потім уточнив, що постраждав лише npm:

«На перший погляд виглядало справді. Не виправдовувався, просто мав довгий тиждень і панічний ранок, і намагався щось викреслити зі свого списку справ. Зробив помилку, натиснувши на посилання, замість того, щоб перейти безпосередньо на сайт». 

Фішинговий лист надійшов від служби підтримки [at] npmjs [dot] help і використовував тактику залякування, щоб змусити Джунона натиснути на посилання, яке перенаправляло його на фішинговий сайт.

Видаючи себе за співробітника npm, зловмисники попросили його оновити облікові дані 2FA, стверджуючи, що це частина «постійного зобов’язання щодо безпеки облікових записів», і що вони вимагають того ж від усіх користувачів. 

«Наші записи свідчать про те, що з моменту вашого останнього оновлення 12FA минуло понад 2 місяців», – йдеться у фішинговому електронному листі, додаючи, що ті, у кого «застарілі облікові дані 2FA, будуть тимчасово заблоковані з 10 вересня 2025 року, щоб запобігти несанкціонованому доступу».

Команда той самий електронний лист також використовувався орієнтуватися на інших розробників та розробників пакетів.

З огляду на широке використання уражених пакетів, це могло б стати серйозним інцидентом, якби це не було оброблено так швидко.

Як Чарлі Еріксон з Aikido Security зазначається у звіті, незліченна кількість вебсайтів уникла дуже серйозної шкоди від цієї атаки, де npm-пакети містили фрагмент коду, який виконувався на клієнті вебсайту.

«Це шкідливе програмне забезпечення, по суті, є перехоплювачем на базі браузера, який захоплює як мережевий трафік, так і API додатків», – заявив він у своєму аналізі атаки. «Що робить його небезпечним, так це те, що воно працює на кількох рівнях: змінює контент, що відображається на веб-сайтах, втручається у виклики API та маніпулює тим, що, на думку додатків користувачів, вони підписують. Навіть якщо інтерфейс виглядає правильно, основна транзакція може…» бути перенаправленим на задньому плані».

Шкідливий код був розроблений вкрасти криптовалюту. Зловмисник сканує рядки даних на наявність адрес криптогаманців, наражаючи на небезпеку тих, хто працює над крипто-програмами.

Шкідливе програмне забезпечення непомітно працювало в браузері, без відома користувача, перезаписуючи адреси гаманців та перенаправляючи кошти на облікові записи, контрольовані зловмисником. Воно безпосередньо захоплює та маніпулює транзакціями в Bitcoin. (BTC ), Ефіріум (ETH ), Солана (SOL ), Трон (TRX ), Litecoin (LTC )та Bitcoin Cash (BCH ) на скомпрометованій системі.

Для цього шкідливий код контролював інтерфейси програмування додатків браузера. як інтерфейси fetch та гаманця, такі як window.ethereum.

Шкідливий код «непомітно перехоплює крипто- та Web3-активність у браузері, маніпулює взаємодією з гаманцями та перезаписує платіжні напрямки, щоб кошти та схвалення…» перенаправляються до облікових записів, контрольованих зловмисниками, без будь-яких очевидних ознак для користувача», – сказав Еріксон.

Після завершення шкідливе програмне забезпечення замітає свої сліди, залишаючись у фоновому режимі, щоб перехопити будь-які майбутні транзакції в мережі нічого не підозрюючої жертви.

З огляду на серйозність атаки, Чарльз Гільєме, технічний директор постачальника апаратних гаманців Ledger, попередив користувачів криптовалют бути обережними під час підтвердження транзакцій у мережі. Він зазначив, що постраждалі пакети... зазначено в дописі, вже завантажено понад 1 мільярд разів. 

Він поділився зі спільнотою масштабною атакою на ланцюг поставок, націлюється крипто-гаманці з програмним забезпеченням шкідливе корисне навантаження, яке «мовчки обмінюється крипто-адресами на льоту для крадіжки коштів». 

«Якщо ви використовуєте апаратний гаманець, звертайте увагу на кожну транзакцію перед підписанням, і ви будете в безпеці. Якщо ви не використовуєте апаратний гаманець, утримайтеся від здійснення будь-яких транзакцій у мережі наразі».

– Гільємет

Тим часом, 0xngmi, псевдонімний засновник DefiLlama, платформи криптоаналітики, звернувся до X, щоб частка що «ефективна зона впливу набагато менша, ніж «всі вебсайти»», оскільки ризику можуть бути піддані лише ті проекти, які були оновлені після було опубліковано заражений шкідливим програмним забезпеченням npm-пакетТим не менш, «просто безпечніше уникати використання крипто-сайтів, поки це не мине, і вони не почистять погані пакети», – додав він.

Зрештою, хакерам вдалося вкрасти криптовалюту лише на 50 доларів під час такої масштабної атаки на ланцюг поставок. Ці 50 доларів стосуються ефіру та купи мем-коінів, таких як Бретт та Енді, серед інших.

Однак, це була радше удача, ніж щось інше, оскільки платформа крипторозвідки Security Alliance зазначено на X:

«Могло бути набагато гірше. Приховано розгорнутий бекдор, спрямований на машини розробників з акцентом на стійкість, міг би залишатися непоміченим хто знає скільки часу».

Відтоді, багато криптододатки такий як Повз, Відключення, Гросбух, Юпітер, MetaMask, Фантом, Вибух, а інші повідомили свою аудиторію, що вони в безпеці від атаки npm.

Хоча атака провалилася, це суворе нагадування для розробників, що для максимальної безпеки вони повинні вийти за межі власної кодової бази. Навіть залежності програмного забезпечення, яким довіряють і які широко використовуються, також можуть... бути скомпрометованим в будь-який час.

Тут платформи кодування, такі як GitHub та npm, також повинні зробити більше для забезпечення безпеки широко використовуваних пакетів.

«Більш популярні посилки повинні вимагати підтвердження того, що вони надійшли з перевіреного джерела, а не просто випадковим чином з якогось місця в Інтернеті».

– Еріксен

Зрештою, компрометація репозиторію коду може бути надзвичайно катастрофічною для розробників, які можуть зрештою повністю відмовитися від своїх проектів в результаті такого інциденту.

Цей інцидент свідчить про те, наскільки взаємопов'язаною та вразливою є сучасна екосистема програмного забезпечення для злому. Один скомпрометований обліковий запис може забезпечити зловмисникам величезний охоплення, що робить критично важливим впровадження покращених заходів безпеки ланцюга поставок на кожному етапі процесу розробки.

Захист від швидкозростаючої загрози шкідливого програмного забезпечення 

Зі зростанням загроз шкідливого програмного забезпечення та атаки стають більш просунутими та цілеспрямованими, це важливо для користувачів be освічений та завжди бути пильність на всіх платформах.

Шкідливе програмне забезпечення або шкідливе програмне забезпечення насправді є одним із найпоширеніших типів кібератак. Тут зловмисники розробляють програмний код або комп'ютерну програму з наміром отримати доступ до комп'ютера жертви або завдати йому шкоди, не знаючи про це. було скомпрометовано. 

Щороку по всьому світу відбуваються мільярди атак шкідливого програмного забезпечення на всілякі пристрої та операційні системи. Використовуючи шкідливе програмне забезпечення, кіберзлочинці тримають у заручниках не лише пристрої, а й цілі корпоративні мережі.

Отримуючи несанкціонований доступ до пристроїв жертви, зловмисники крадуть цифрові активи та конфіденційні дані, включаючи облікові дані для входу, номери кредитних карток тощо. інша цінна інформація. Атаки шкідливого програмного забезпечення все частіше спрямовані на бізнес, оскільки компанії зберігають значні обсяги персональних даних, які хакери можуть використовувати для вимагання великих сум грошей. 

Дані показують, що більшість (59%) організацій зазнали такої атаки у 2024 році. Навіть менші компанії не захищені, оскільки 47% з них постраждали від програм-вимагачів минулого року. Тим часом середня сума викупу за цей час зросла на 500% до 2 мільйонів доларів. 

Середня вартість відновлення після атаки шкідливого програмного забезпечення також зросла до 2.73 мільйона доларів. Однією з найбільших загроз, з якою стикається Інтернет на даний момент, є шкідливе програмне забезпечення, яке може приймати різні форми з єдиною метою заподіяння шкоди комп’ютерним системам та їхнім користувачам.

Віруси, програми-вимагачі, трояни, черв'яки, шпигунське програмне забезпечення, рекламне ПЗ та крипто-джекінг – це різні типи шкідливих програм. Усі вони розроблені отримати несанкціонований доступ до мережі або пошкодити комп'ютерні системи.

Коли йдеться про першопричини нападів, найбільший один із них (32%) – це використання зловмисниками вразливостей, далі йдуть скомпрометовані облікові дані (29%) та шкідливі електронні листи (23%). 

тепер, просто як можна запобігти цій постійному небезпеці? Перший і найпростіший крок – це завжди оновлювати комп’ютер і програмне забезпечення. Крім того, критично важливо, щоб ви цього не робили клікати майже на все в Інтернеті. Особливо, якщо ви користувач криптовалюти, слід з підозрою ставитися до посилань і категорично не завантажувати нічого, в чому ви не впевнені.

Те саме стосується будь-яких вкладень електронної пошти. Будьте обережні з відкриттям підозрілих листів і намагайтеся звести до мінімуму обмін файлами. Бажано встановити на свій пристрій антивірусне програмне забезпечення.

Хоча це неминуче, організації також можуть підготуватися до атак шкідливих програм, посиливши свій захист. Найпростіші способи зробити це – використовувати надійні паролі, багатофакторну автентифікацію та VPN, які люди також можуть використовувати для ефективнішого захисту..

Організаціям необхідно постійно контролювати пристрої на наявність ознак підозрілої активності, оцінювати будь-які вразливості та проводити тестування на проникнення. Тим часом резервні копії конфіденційних даних на дисках, відключених від мережі, допоможуть у відновленні після атак шкідливого програмного забезпечення.

Співробітникам потрібно бути навченим до місце такі напади краще та швидко реагувати, маючи плани реагування на інциденти та знаючи, з ким зв’язатися на підозра на загрозу шкідливого програмного забезпечення.

Використовуючи архітектуру мережі з нульовою довірою, компанії можуть гарантувати, що ніхто не зможе отримати доступ до даних чи активів, яким він не повинен. У нульовій довірі користувачам ніколи не довіряють, і вони завжди перевіряються.

У сучасному гіперцифровому світі життя, ці практики можуть допомогти один захист себе проти небезпек дедалі більш взаємопов'язаного світу.

Коли йдеться про захист від шкідливих пакетів, загальні рекомендації щодо безпеки від шкідливих програм також застосовуються до npm-атак., але від Звичайно, існують додаткові, специфічні запобіжні заходи, яких слід вживати, оскільки екосистема особливо вразлива через свою відкриту природу, часте повторне використання малих пакетів та великі дерева залежностей.

Щоб захистити себе від цієї серйозної загрози, перед встановленням пакета слід завжди перевіряти його надійність. Перевірка цілісності пакета гарантує, що ваше дерево залежностей не було підроблено. 

Під час пошуку ознак незаконності, окрім джерела та власника пакета, перевірте будь-які зміни, внесені до відповідальних за обслуговування. Ти може Також хочу Дослідіть, що роблять пакети та яка в них потреба.

Використовуйте інструменти безпеки, які постійно відстежують нові загрози та надають практичні поради щодо пом’якшення ситуації. можна виконувати перевірки аудиту npm на наявність відомих вразливостей у залежностях проєкту. Тим часом впровадження автоматизованих сканувань безпеки перед розгортанням гарантуватиме, що у виробництво потраплятиме лише перевірений та схвалений код.

Тепер, щоб захистити себе від останньої атаки шкідливого програмного забезпечення, вам потрібно закріпити уражені пакети до їхніх найбезпечніших версій перед компрометацією за допомогою функції перевизначення в package.json. 

Запустіть npm-аудит або скористайтеся інструментами аналізу складу програмного забезпечення (SCA), щоб перевірити наявність уражених версій у вашому дереві залежностей. Відстежуйте будь-які індикатори компрометації (IoC), перевіряючи журнали збірки, середовища розробника та вихідний трафік на наявність підозрілої активності.

Натисніть тут, щоб переглянути список п'яти найкращих компаній, які боролися з кібератаками.

Заключні думки: Посилення залежностей від програмного забезпечення з відкритим кодом

Загрози в інтернеті постійно зростають і стають все більш витонченими. 

З Нападники поворот до нових векторів атаки та націлювання проекти з недостатнім фінансуванням, для розробників, підприємств і користувачів стає критично важливим не чекати, поки загроза з'являтися перед тим діючий, але до приймати профілактичні заходи тому що один слабка ланка може зняти цілу систему. 

Це завдяки постійному поінформуванню про нові загрози та постійному аудиту ланцюгів постачання програмного забезпечення та моніторинг загроз, за ​​допомогою якого ми можемо по-справжньому захистити себе від постійно мінливих кіберризиків.

Натисніть тут, щоб переглянути список п'яти найкращих публічних компаній, які платили кіберзлочинцям.