Итак, вот что произошло: разработчик с самым неудачным аккаунтом NPM стал жертвой фишинга. Да, фишинга – видимо, хакерам нравится ловить рыбу там, где плавает крупная добыча. Они захватили его пакеты и превратили их в злонамеренный набор для любителей вредоносного ПО.
Во времена рыночной неопределенности, ваш капитал нуждается в надежной крепости. Мы строим ее на фундаменте из фундаментального анализа и недооцененных активов.
Укрепить Свой ПортфельНе один или два, а десятки первоклассных пакетов JavaScript – эти безобидные утилиты, на которые вы полагаетесь каждый день – подверглись злонамеренному изменению. Эти пакеты вместе составляют непринужденные 1 миллиард еженедельных загрузок. Так что да, эта взлом была, по сути, программным эквивалентом глобального чихания. Будьте здоровы!
Это было не рядовое киберпреступление – это была полноценная засада в цепочке поставок программного обеспечения, точно нацеленная на экосистему JavaScript/Node.js, словно самонаводящаяся ракета с проблемами доверия.
Атака на цепочку поставок NPM — Несанкционированная драма
Нашего приятеля qix обманули гораздо хуже новичка на турнире по ловле тунца. Теперь вредоносный код скрывается внутри ваших npm-пакетов, готовый украсть вашу криптовалюту быстрее, чем вы успеете сказать «держи».
Трюки злоумышленников включают:
- Перехват функций кошелька, таких как
request()иsend()- Подмену адресов SOL/ других криптовалют плавно, как сюжетный поворот в Netflix
- И, по сути, говоря «попался» вашим драгоценным монетам…
— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 сентября 2025 г.
Познакомьтесь с Крипто-Клептоманом: Очень изощренный виртуальный карманник хакера.
Этот вредоносный код «крипто-клиппер» похож на цифрового вора с *чрезвычайным* вниманием к деталям. Вместо того, чтобы красть ваш кошелек, он незаметно меняет адреса кошельков во время транзакции, унося ваши криптовалюты прежде, чем вы успеете заметить. Уровень обфускации? Максимальный. Обнаружение? Почти нулевое.
Два ужасающих пути к вашим средствам:
- Если у вас нет расширения для криптокошелька, оно перехватывает все запросы вашего браузера, заменяя адреса на адреса злоумышленников. (Да, весь ваш невинный сетевой трафик становится доступным.)
- Если у вас есть криптокошелек, это вредоносное ПО приостанавливает вашу транзакцию, словно подозрительный официант, подменяет адрес мошенника и отправляет ваши средства в цифровое никуда.
И атака была направлена на некоторые популярные пакеты, такие как chalk, strip-ansi, color-convert и color-name – по сути, базовые элементы для визуального оформления JavaScript-приложений повсюду. Почему бы и нет?
Черная комедия всей этой ситуации? Взлом был обнаружен из-за ошибки «fetch is not defined». Да, вредоносное ПО споткнулось, пытаясь тайно выкрасть данные, и – бум – катастрофа для хакеров, джекпот для разработчиков.
Генеральный директор Ledger мудро заметил: «Если вы используете аппаратный кошелек, внимательно проверяйте каждую транзакцию перед подписанием, как если бы это были сообщения от бывшего партнера. Если нет, возможно, стоит пока воздержаться от действий в блокчейне.»
Текущий взлом npm:
Если веб-сайт использует скомпрометированный пакет, хакеры получают возможность управлять ситуацией. Нажали кнопку «обменять» на любимом сайте? Поздравляем, ваши деньги могут просто исчезнуть.
— 0xngmi (@0xngmi) 8 сентября 2025 г.
Масштаб атаки: JavaScript повсюду, доверия нигде.
Это вредоносное ПО не делает различий. Оно нацелено на любую среду JavaScript или Node.js, от ваших любимых веб-приложений до настольных, серверных и мобильных приложений, созданных с использованием JavaScript-фреймворков. По сути, весь ваш цифровой мир в ужасе.
Таким образом, ваше невинное бизнес-веб-приложение может размещать эти вредоносные пакеты под своей крышей – тихо подсчитывая загрузки, пока не превратится в крипто-ловушку. Но не бойтесь: вредоносное ПО активируется только при участии криптовалюты, поэтому ваш сайт с видео о кошках, вероятно, в безопасности. Пока что.
И Blockstream, и компания, которую нельзя упоминать, выступили с успокаивающими сообщениями, по сути говоря: «Нас это не затронуло, но, пожалуйста, проверьте свой кошелек, как параноидальный шпион».
Официальное заявление от Uniswap по поводу паники с npm:
«Наши приложения в порядке. Здесь нет уязвимых пакетов. Но оставайтесь бдительными, потому что хакеры никогда не спят.»
— Uniswap Labs (@Uniswap) 8 сентября 2025 г.
Смотрите также
- Как исправить ошибку ‘Waiting for relay’ в Black Ops 6
- Прогноз курса: доллар к перуанскому солю
- Золото прогноз
- Когда выйдет обновление 6-го сезона для Warzone? Преследование и все, что мы знаем.
- ARB криптовалюта и прогнозы цен на ARB
- Популярная штурмовая винтовка из Warzone снова имеет самое быстрое время уничтожения (TTK) после обновления Сезон 5 Reloaded.
- Обнаружена гениальная тактика поиска и уничтожения
- Как пройти High Rollers в Call of Duty: Black Ops 6
- Самая желанная функция Black Ops 6 направлена на борьбу с читерством, но не без подвоха
- Как выйти из тренировочного режима Warzone
2025-09-10 01:14